Настроить сертификат Let's Encrypt для Postfix, чтобы SMTP-сервер отдавал доверенный TLS-сертификат вместо self-signed.
* DNS-имя сервера уже настроено и указывает на нужный IP * в примере используется имя: host.mydomain.ru * порт 80/tcp доступен из Интернета для прохождения проверки Let's Encrypt * Postfix уже установлен
—
sudo apt update sudo apt -y install certbot
Проверить, не занят ли порт 80:
ss -nltp | grep :80
Если порт 80 занят веб-сервером или другим процессом, его нужно временно освободить на время выпуска сертификата.
—
Проверить текущее состояние firewall:
sudo ufw status
Разрешить входящие подключения на порт 80:
sudo ufw allow to any port 80 comment "CertBot"
Проверить правило:
sudo ufw status
Применить правила:
sudo ufw reload
—
Получить сертификат через standalone-режим:
sudo certbot certonly --standalone -d host.mydomain.ru --agree-tos --email myemail@mydomain.com
Проверить, что сертификат выпущен:
sudo certbot certificates
После успешного выпуска сертификата должны появиться файлы:
/etc/letsencrypt/live/host.mydomain.ru/fullchain.pem /etc/letsencrypt/live/host.mydomain.ru/privkey.pem
Для Postfix нужно использовать именно:
* fullchain.pem * privkey.pem
—
Открыть конфигурацию:
sudo vim /etc/postfix/main.cf
Добавить или проверить следующие параметры:
smtpd_tls_security_level = may smtpd_tls_cert_file = /etc/letsencrypt/live/host.mydomain.ru/fullchain.pem smtpd_tls_key_file = /etc/letsencrypt/live/host.mydomain.ru/privkey.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_protocols = !SSLv2,!SSLv3 smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_ciphers = high smtpd_tls_mandatory_ciphers = high tls_preempt_cipherlist = yes
* smtpd_tls_security_level = may — сервер предлагает STARTTLS, но не требует его * smtpd_tls_cert_file — полный сертификат с цепочкой * smtpd_tls_key_file — закрытый ключ * smtpd_tls_loglevel = 1 — минимально полезный лог TLS * smtpd_tls_received_header = yes — добавляет информацию о TLS в заголовки письма
—
Перечитать конфигурацию Postfix:
sudo postfix reload
Если нужно проверить, нет ли ошибок в конфиге перед reload:
sudo postfix check
—
Открыть лог в реальном времени:
sudo tail -f /var/log/mail.log | ccze
Если ccze не установлен, можно использовать обычный просмотр:
sudo tail -f /var/log/mail.log
—
Проверить таймер certbot:
systemctl list-timers | grep certbot
Проверить тестовое обновление без реального продления:
sudo certbot renew --dry-run
—
Открыть файл hook-скрипта:
sudo vim /etc/letsencrypt/renewal-hooks/deploy/postfix.sh
Содержимое файла:
#!/bin/bash
systemctl reload postfix
Сделать файл исполняемым:
sudo chmod +x /etc/letsencrypt/renewal-hooks/deploy/postfix.sh
Этот скрипт будет автоматически выполняться после успешного обновления сертификата.
—
Проверка прослушивания порта 80:
ss -n4ltp | grep :80
Если после выпуска сертификата на сервере не используется web-сервис и порт 80 не нужен, правило UFW можно удалить:
sudo ufw status numbered sudo ufw delete НОМЕР_ПРАВИЛА sudo ufw reload
—
Проверить локально, какой сертификат отдаёт Postfix на 25 порту:
openssl s_client -starttls smtp -connect localhost:25 -servername host.mydomain.ru -showcerts
Что нужно увидеть:
* сертификат выдан публичным CA Let's Encrypt * в цепочке есть Let's Encrypt * нет self-signed сертификата * имя сервера совпадает с host.mydomain.ru
Проверить снаружи по FQDN:
openssl s_client -starttls smtp -connect host.mydomain.ru:25 -servername host.mydomain.ru -showcerts
—
sudo apt update sudo apt -y install certbot ss -nltp | grep :80 sudo ufw status sudo ufw allow to any port 80 comment "CertBot" sudo ufw status sudo ufw reload sudo certbot certonly --standalone -d host.mydomain.ru sudo certbot certificates sudo vim /etc/postfix/main.cf sudo postfix reload sudo tail -f /var/log/mail.log | ccze systemctl list-timers | grep certbot sudo vim /etc/letsencrypt/renewal-hooks/deploy/postfix.sh sudo chmod +x /etc/letsencrypt/renewal-hooks/deploy/postfix.sh ss -n4ltp | grep :80
—
smtpd_tls_security_level = may smtpd_tls_cert_file = /etc/letsencrypt/live/host.mydomain.ru/fullchain.pem smtpd_tls_key_file = /etc/letsencrypt/live/host.mydomain.ru/privkey.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_protocols = !SSLv2,!SSLv3 smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_ciphers = high smtpd_tls_mandatory_ciphers = high tls_preempt_cipherlist = yes
—
Нужно указывать:
fullchain.pem
а не только:
cert.pem
—
Проверь:
postconf -n | grep myhostname hostname -f
—
Let's Encrypt не сможет пройти проверку.
—
Нужно временно остановить процесс, который слушает 80/tcp.
—
postconf -n | grep -E 'myhostname|smtpd_tls_cert_file|smtpd_tls_key_file|smtpd_tls_security_level|smtpd_tls_loglevel' openssl s_client -starttls smtp -connect localhost:25 -servername host.mydomain.ru sudo certbot certificates