Vandaag ben ik aan het stoeien geweest om met certificaten te gebruiken als authorisatie voor het versturen van email. Henk is daar ook al enige tijd mee bezig. Dit bericht is vooral bedoeld als een samenvatting om het werkend te krijgen, het is dus geen volledig stappenplan.
Postfix
Allereerst moet de mailserver weten dat hij vanaf nu om certificaten moet gaan vragen en geen gebruikersnaam en wachtwoord meer. Hiervoor passen we de main.cf aan:
smtpd_recipient_restrictions = permit_mynetworks permit_tls_clientcerts reject_unauth_destination smtpd_tls_security_level = may smtpd_tls_ask_ccert = yes smtpd_tls_auth_only = yes relay_clientcerts = hash:/etc/postfix/relay_clientcerts
In de master.cf passen we de volgende regel aan:
submission inet n - - - - smtpd -o smtpd_tls_security_level=encrypt
In de main.cf heb ik die instelling op
smtpd_tls_security_level=may
Het mailprogramma
Voor de mail gebruik ik Thunderbird. Bij de instellingen dient te worden aangegeven dat de mail versleuteld en ondertekend wordt met een certificaat. Het certificaat heb ik aangevraagd bij cacert.org. Bij de instellingen van de smtp-server is het van belang om geen vinkje te zetten bij Gebruikersnaam/wachtwoord. Staat dat vinkje er wel, dan gaat het inloggen niet goed.