Vandaag ben ik aan het stoeien geweest om met certificaten te gebruiken als authorisatie voor het versturen van email. Henk is daar ook al enige tijd mee bezig. Dit bericht is vooral bedoeld als een samenvatting om het werkend te krijgen, het is dus geen volledig stappenplan.

Postfix

Allereerst moet de mailserver weten dat hij vanaf nu om certificaten moet gaan vragen en geen gebruikersnaam en wachtwoord meer. Hiervoor passen we de main.cf aan:

smtpd_recipient_restrictions = permit_mynetworks permit_tls_clientcerts reject_unauth_destination
smtpd_tls_security_level = may
smtpd_tls_ask_ccert = yes
smtpd_tls_auth_only = yes
relay_clientcerts = hash:/etc/postfix/relay_clientcerts

In de master.cf passen we de volgende regel aan:

submission inet n      -       -       -       -       smtpd -o smtpd_tls_security_level=encrypt

In de main.cf heb ik die instelling op

smtpd_tls_security_level=may

Het mailprogramma

Voor de mail gebruik ik Thunderbird. Bij de instellingen dient te worden aangegeven dat de mail versleuteld en ondertekend wordt met een certificaat. Het certificaat heb ik aangevraagd bij cacert.org. Bij de instellingen van de smtp-server is het van belang om geen vinkje te zetten bij Gebruikersnaam/wachtwoord. Staat dat vinkje er wel, dan gaat het inloggen niet goed.