Sicherer Mailversand mit TLS

Damit nicht jeder den eigenen Mailverkehr verfolgen kann, ist es ratsam TLS zu aktivieren. Dafür muss als Erstes ein SSL-Zertifikat erstellt werden, sofern dies nicht bereits geschehen ist. Dazu benötigt man zum Beispiel OpenSSL https://www.openssl.org/.

Unter Ubuntu oder Debian lässt sich dieses mit

# apt-get install openssl

installieren.

Wir erstellen in /etc/exim/ ein Verzeichnis für unsere SSL-Zertifikate.

# mkdir /etc/exim4/ssl

Als nächsten erstellen wir den Schlüssel. Der Name ist beliebig, allerdings sollte er auf „.key“ enden. In diesem Beispiel heißt er „exim.key“.

# openssl genrsa -des3 -out /etc/exim4/ssl/exim.key 2048

Generating RSA private key, 2048 bit long modulus

..............................................................................+++...................+++

e is 65537 (0x10001)

Enter pass phrase for exim.key:

Die Passphrase kann leergelassen werden.

Der Key ist eine Ascii-File und kann daher ausgegeben werden. Er sollte wie so ähnlich aussehen wie folgend:

# cat /etc/exim4/ssl/exim.key

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

DEK-Info: DES-EDE3-CBC,903C64CB0C62B138

h9FHAPNMh5E+RAzMzaqjQO2ccE8rixwJxALWb8K6+fSirC+AApglS0bVp1tMf8ps

00RHoD1dt1Pz1gO2UBP4vF921CoNx/SJMmB6cV5WvEuvn71V9c1Ff8eXfGMRfSA

vFuTn2G6OhRFdvJgitpA2rk7+BLnL0lnnRNQWYZN/1iQYbNOLZGTQy9Lzg6NygyT

[...]

ha88fED5gHxJ2CEs4hTk/NURHhA+SaqJF2j3lEQ5n8odVTTSY0UhKNKEtiJLJpQ/

jXxPh+ZBxPuK1SdcOjZ2sWw7SOCrotEl3CiKONXTiuD31KuonGpVOGq7ZwLWvwUH

V8IKzx6a8CYv8tF2LC1etLi1ZaftwOOtCGHwUdlZNoHYUXogCKROK2LXqcDv1fvs

-----END RSA PRIVATE KEY-----

Jetzt kann das Zertifikat erzeugt werden. Die Felder müssen mit den eigenen Daten gefüllt werden. Besonders wichtig ist dabei der „Common Name“. Dieser ist dabei meist die Domain des Mailservers.

# openssl req -x509 -newkey rsa:2048 -keyout /etc/exim4/ssl/exim.key -out /etc/exim4/ssl/exim.crt -days 1095 -nodes

Generating a 2048 bit RSA private key

........................................................................................................................................+++

.........................................................+++

writing new private key to 'exim.key'

-----

You are about to be asked to enter information that will be incorporated into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:DE

State or Province Name (full name) [Some-State]:Niedersachsen

Locality Name (eg, city) []:Hannover

Organization Name (eg, company) [Internet Widgits Pty Ltd]:axxeo GmbH

Organizational Unit Name (eg, section) []:IT-Sicherheit

Common Name (e.g. server FQDN or YOUR name) []:yourmailserver.de

Email Address []:

Damit Exim das Zertifikat auch für TLS verwendet, muss es noch richtig konfiguriert werden. Dafür kann man die folgende Datei erstellen.

# nano /etc/exim4/conf.d/main/00_exim4-tls

Diese muss folgende drei Zeilen beinhalten. Ggf. müssen die Pfade und Namen angepasst werden.

MAIN_TLS_ENABLE = true

MAIN_TLS_CERTIFICATE = /etc/exim4/ssl/exim.crt

MAIN_TLS_PRIVATEKEY = /etc/exim4/ssl/exim.key

Jetzt muss die neue Konfiguration in Exim geladen werden.

# update-exim4.conf

Nachdem der Server neugestartet wurde, können von nun an Verbindungen über TLS hergestellt werden.

# /etc/init.d/exim4 restart

 
 

Exim mit TLS