Jak zprovoznit emailový server, část 4: Nastavení Dovecotu a SSL/TLS

Zobrazení: 23

Další článek ze seriálu o zprovoznění e‑mailového serveru se bude věnovat nastavení Dovecotu a SSL/TLS. V krátkém a srozumitelném návodu jsou popsány základní kroky instalace Dovecotu, konfigurace šifrovaného připojení a integrace s poštovním serverem Postfix. Vše je ukázáno na příkladu domény vasedomena.cz a e‑mailu info@vasedomena.cz.

Úvod

Tento článek se věnuje nastavení poštovního serveru Dovecot pro bezpečné přijímání a čtení e-mailů (IMAP/POP3) a také správnému zajištění šifrovaného spojení v Postfixu. Vše je demonstrováno na uživateli info s e-mailem info@vasedomena.cz.

Instalace Dovecotu

Pro zajištění přístupu k e-mailům přes protokoly IMAP a POP3 je potřeba nainstalovat Dovecot. Na Ubuntu lze použít následující příkaz:

sudo apt update
sudo apt install dovecot-imapd dovecot-pop3d

Kopírovat příkaz

Vytvoření poštovního účtu

Předpokládá se, že uživatel info již existuje a má svůj domovský adresář. Pokud tomu tak není, uživatele lze vytvořit tímto příkazem:

sudo adduser info

Kopírovat příkaz

Ujistěte se, že složka /home/info/Maildir existuje. Pokud ne, vytvořte ji a nastavte správného vlastníka:

sudo maildirmake.dovecot /home/info/Maildir
sudo chown -R info:info /home/info/Maildir

Kopírovat příkaz

Základní konfigurace Dovecotu

Otevřete konfigurační soubor /etc/dovecot/conf.d/10-mail.conf a nastavte cestu k poštovním schránkám:

mail_location = maildir:~/Maildir

Kopírovat nastavení

Ve výchozím stavu lze přihlášení provádět pouze uživatelským jménem (např. info). Pro povolení přihlašování ve formátu e-mailové adresy upravte v souboru /etc/dovecot/conf.d/10-auth.conf tento řádek:

auth_username_format = %n

Kopírovat nastavení

Získání a instalace certifikátu Let's Encrypt

Pro bezpečné šifrované spojení je ideální použít bezplatné certifikáty od Let's Encrypt. Doporučuje se využít nástroj certbot, který certifikát nejen získá, ale také automaticky obnovuje.

Nejprve je nutné nainstalovat certbot a jeho plugin pro Apache (nebo jiný webserver, pokud používáte jiný):

sudo apt update
sudo apt install certbot python3-certbot-apache

Kopírovat příkaz

Poté lze certifikát vystavit pro doménu vasedomena.cz i mail.vasedomena.cz například takto:

sudo certbot --apache -d vasedomena.cz -d mail.vasedomena.cz

Kopírovat příkaz

Po úspěšném dokončení procesu budou certifikáty uloženy ve složce /etc/letsencrypt/live/vasedomena.cz/ a lze je následně použít v konfiguraci Dovecotu i Postfixu podle předchozích instrukcí. Certifikáty se automaticky obnovují pomocí systémového časovače (systemd timer).

Pro kontrolu stavu platnosti certifikátu lze použít:

sudo certbot renew --dry-run

Kopírovat příkaz

Nastavení SSL/TLS pro šifrované připojení

Pro zajištění šifrované komunikace je nutné vygenerovat nebo získat platný SSL/TLS certifikát. Pokud používáte Let's Encrypt, certifikáty jsou obvykle uloženy v /etc/letsencrypt/live/vasedomena.cz/. Pro nastavení Dovecotu otevřete soubor /etc/dovecot/conf.d/10-ssl.conf a upravte tyto řádky:

ssl = required
ssl_cert = </etc/letsencrypt/live/vasedomena.cz/fullchain.pem
ssl_key = </etc/letsencrypt/live/vasedomena.cz/privkey.pem

Kopírovat nastavení

Povolení IMAP a POP3 s TLS

Doporučuje se povolit pouze šifrované varianty protokolů. Ve výchozím nastavení jsou porty pro IMAPs (993) a POP3s (995) již aktivní.

• IMAPs – port 993 (šifrovaný IMAP)
• POP3s – port 995 (šifrovaný POP3)

Ověřte, že Dovecot naslouchá na těchto portech:

sudo netstat -tlnp | grep dovecot

Kopírovat příkaz

Nastavení SSL/TLS v Postfixu

Pro šifrovaný přenos pošty při odesílání i přijímání je třeba upravit v souboru /etc/postfix/main.cf tyto řádky (certifikáty nahraďte vlastní cestou):

smtpd_tls_cert_file = /etc/letsencrypt/live/vasedomena.cz/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/vasedomena.cz/privkey.pem
smtpd_use_tls = yes
smtpd_tls_security_level = may
smtp_tls_security_level = may
smtpd_tls_auth_only = yes

Kopírovat nastavení

Pro šifrovaný přístup klientů k odesílání pošty na portu 587 je potřeba v /etc/postfix/master.cf upravit nebo přidat sekci pro submission:

submission inet n - y - - smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_wrappermode=no
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_tls_auth_only=yes
  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject_unauth_destination

Kopírovat nastavení

Restartování služeb

Po všech změnách je potřeba restartovat Dovecot i Postfix:

sudo systemctl restart dovecot
sudo systemctl restart postfix

Kopírovat příkaz

Ověření funkčnosti

K ověření správného nastavení lze využít e-mailového klienta (např. Thunderbird), kde by se měl účet info@vasedomena.cz přihlásit pomocí šifrovaného spojení IMAP/SMTP. Dále lze využít online nástroje, například checktls.com, pro ověření platnosti certifikátu a správné konfigurace serveru.

---

• Předchozí článek: Jak zprovoznit emailový server, část 3: Postfix
• Následující článek: Jak zprovoznit emailový server, část 5: Typické chyby a jejich řešení
• Všechny články rubriky