Comment crypter les e-mails sortants dans postfix

Question

J'ai mis en place postfix et dovecot en suivant plusieurs guides en ligne et j'ai toujours le problème que les emails que j'envoie ne seront pas cryptés. J'ai testé les paramètres en envoyant un e-mail à mon compte @ gmail.com car je suis sûr que les serveurs google supporteront le cryptage TLS, et l'email dans le webmail gmail montre clairement le cadenas barré rouge pour montrer qu'ils ne sont pas cryptés .

Si je mets

smtpd_tls_security_level = encrypt 
smtp_tls_security_level = encrypt 

Je reçois cette erreur

TLS is required, but was not offered by host gmail-smtp-in.l.google.com[64.233.167.27] 

Et si je mets à peut il envoie l'e-mail, sans le chiffrer.

C'est la sortie de postconf -n

alias_database = hash:/etc/aliases 
alias_maps = hash:/etc/aliases 
append_dot_mydomain = no 
biff = no 
home_mailbox = Maildir/ 
inet_interfaces = all 
inet_protocols = all 
mailbox_command = 
mailbox_size_limit = 0 
mydestination = $myhostname, localdomain, localhost, localhost.localdomain, localhost, mail.example.com, example.com 
myhostname = mail.example.com 
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 
mynetworks_style = subnet 
myorigin = /etc/mailname 
readme_directory = no 
recipient_delimiter = + 
smtp_tls_CAfile = /routeto/my.ca-bundle 
smtp_tls_cert_file = /routeto/my.crt 
smtp_tls_key_file = /routeto/my.key 
smtp_tls_loglevel = 1 
smtp_tls_note_starttls_offer = yes 
smtp_tls_security_level = may 
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache 
smtp_use_tls = yes 
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) 
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_client_hostname 
smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination 
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination 
smtpd_sasl_auth_enable = yes 
smtpd_sasl_local_domain = example.com 
smtpd_sasl_path = private/auth 
smtpd_sasl_type = dovecot 
smtpd_tls_CAfile = /routeto/my.ca-bundle 
smtpd_tls_cert_file = /routeto/my.crt 
smtpd_tls_key_file = /routeto/my.key 
smtpd_tls_loglevel = 1 
smtpd_tls_received_header = yes 
smtpd_tls_security_level = may 
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache 
smtpd_use_tls = yes 

et c'est la sortie d'un telnet sur le port 25 suivi par EHLO essai

250-mail.example.com 
250-PIPELINING 
250-SIZE 10240000 
250-VRFY 
250-ETRN 
250-STARTTLS 
250-AUTH PLAIN LOGIN 
250-ENHANCEDSTATUSCODES 
250-8BITMIME 
250 DSN 

et la même chose sur le port 587

250-mail.example.com 
250-PIPELINING 
250-SIZE 10240000 
250-VRFY 
250-ETRN 
250-STARTTLS 
250-ENHANCEDSTATUSCODES 
250-8BITMIME 
250 DSN 

Answer 1

TLS est requis, mais n'a pas été offert par host gmail-smtp-in.l.google.com [64.233.167.27]

Ceci montre clairement que l'hôte n'offre pas STARTTLS à votre serveur. Mais, il est connu que Gmail propose STARTTLS et votre test avec telnet le confirme. Je suppose que vous avez fait le telnet à partir d'un système différent et que votre serveur de messagerie est derrière un pare-feu (transparent) qui intercepte le trafic pour l'analyser. Afin de ne pas traiter le trafic SMTP chiffré, cela se fait souvent en supprimant simplement la commande STARTTLS de la réponse du serveur à EHLO afin que le serveur de messagerie présume que TLS n'est pas pris en charge. Voir aussi What happens if STARTTLS dropped in SMTP?.