Este manual describe el proceso de configurar TLS (Transport Layer Security) en Postfix para encriptar la autenticación de usuarios y proteger contraseñas. Explica cómo generar certificados y claves de encriptación, y configurar Postfix para usar TLS mediante la especificación de archivos de clave, certificado y CA. El objetivo final es proteger las comunicaciones de correo electrónico mediante encriptación.

1. MANUAL DE ENCRIPTACION CON TLS

2. MANUAL DE ENCRIPTACION CON TLS - riveraj94 2
2
2014
Mientras que la sección de SASL maneja la autentificación
(que determina quien tiene derecho a enviar correos). Esta
sección tratara la protección de contraseñas, para asegurar
que los intrusos no pueden leer las contraseñas secretas de
los usuarios. Para proteger la autentificación,
implementaremos con Postfix TLS (Transport layer Security),
un protocolo mejor que el SSL (Serure Sokets Layer)
Para ello se generaran dos certificados (*.crt) y dos claves de
encriptación (*.key). Necesita una clave primaria que nadie
debe conocer y una clave pública (que permitirá a los clientes
enviarle credenciales seguras).
1) Empezamos por crear un directorio para los certificados SSL y
entrando en el:
MANUAL DE ENCRIPTACION CON TLS

3. MANUAL DE ENCRIPTACION CON TLS - riveraj94 3
3
2014
2) Ahora creamos la clave primaria con la siguiente instrucción, en la
que se nos pedirá que ingresemos una contraseña para poder
generarla:
openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024
Enter pass phrase for smtpd.key: contraseña
Verifying - Enter pass phrase for smtpd.key: contraseña
Con lo cual se ha creado el archivo: smtpd.key
3) Cambia los permisos del archivo resultante que contiene la clave
OpenSSL del servidor (es decir la clave primaria) para que sea
accesible solo por root.

4. MANUAL DE ENCRIPTACION CON TLS - riveraj94 4
4
2014
4) Ahora generaremos con la clave primaria, un certificado
(smtpd.csr), con lo cual tendremos que introducir la contraseña que
introducimos en la generación del archivo smtpd.key y responder
algunas preguntas, para la generación del certificado:
openssl req -new -key smtpd.key -out smtpd.csr
Enter pass phrase for smtpd.key: contraseña
Please enter the following 'extra' attributes to be sent with your
certificate request
A challenge password []: lo dejo en blanco
An optional company name []: lo dejo en blanco
Con lo cual se ha creado el archivo: smtpd.csr

5. MANUAL DE ENCRIPTACION CON TLS - riveraj94 5
5
2014
5) A continuación generamos el archivo de certificado ejecutando:
openssl x509 -req -days 36500 -in smtpd.csr -signkey smtpd.key -out smtpd.crt
Enter pass phrase for smtpd.key: contraseña (Del Paso 2)
Con lo cual se ha creado el archivo: smtpd.crt
El archivo de certificado (smtpd.crt) puede ser legible por cualquiera,
ya que no contiene nada sensible, de hecho es enviado a cada cliente en
la conexión SSL para que pueda cifrar la información.
6) A continuación generamos una nueva clave primaria, par luego
cambiarla por la clave existente (smtpd.key) ejecutando:
openssl rsa -in smtpd.key -out smtpd.key.unencrypted
Enter pass phrase for smtpd.key: contraseña
Con lo cual se ha creado el archivo: smtpd.key.unencrypted
7) Procedemos a remplazar la clave existente (smtpd.key) por la nueva
(smtpd.key.unencrypted):
mv -f smtpd.key.unencrypted smtpd.key

6. MANUAL DE ENCRIPTACION CON TLS - riveraj94 6
6
2014
8) Cualquiera que contenga este archivo podrá descifrar los mensajes,
por eso es que procedemos a cambiarle los permisos:
chmod 600 smtpd.key
9) Con lo cual ya contamos con una clave (smtpd.key) más fuerte con la
que podemos proceder a generar los certificados, con el siguiente
comando:
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 36500
Enter PEM pass phrase: otra-contraseña
Verifying - Enter PEM pass phrase: otra-contraseña
Con lo cual se han generado los siguientes archivos: cacert.pem y
cakey.pem

7. MANUAL DE ENCRIPTACION CON TLS - riveraj94 7
7
2014
10) Para indicarle a Postfix las claves y certificados editamos el archivo
/etc/postfix/main.cf y colocamos al fina de este lo siguiente:
smtpd_tls_auth_only = no
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_CAfile =/etc/postfix/ssl/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

8. MANUAL DE ENCRIPTACION CON TLS - riveraj94 8
8
2014
11) Por último debemos reiniciar Postfix para que los cambios tomen
efecto: