Installer un certificat SSL sur Dovecot (IMAPs + POPs)

Ce tutoriel vous explique la procédure à suivre afin d'installer un certificat SSL sur Dovecot (Serveur de messagerie POP / IMAP).
Un tutoriel complémentaire vous explique comment utiliser ce même certificat SSL sur Postfix.

Mettre en place une authentification SSL / TLS sur votre serveur de messagerie vous permettra d'utiliser les protocoles IMAPs et POPs
Dans ce tutoriel, nous activerons une authentification TLS (protocole plus sécurisé que SSL). IMAPs utilisera le port 993 et POPs utilisera le port 995.


1. Connaitre l'adresse à sécuriser sur Dovecot

Récupérez l'adresse spécifiée dans le champ MX de la zone DNS de votre nom de domaine en exécutant la commande ci-dessous (via cmd ou via un Terminal) :

nslookup -type=MX wistee.fr

Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
wistee.fr	mail exchanger = 10 mail.wistee.fr. 

Dans notre exemple, l'adresse "mail.wistee.fr" sera l'adresse à sécuriser par un certificat SSL et à renseigner dans le champ POP / IMAP et SMTP du client de messagerie.
Cette adresse pointe en effet vers notre serveur de messagerie via le DNS, et c'est sur cette adresse qu'Outlook, Thunderbird ou Mail... doit établir la connexion sécurisée.


2. Obtenir un certificat SSL valide pour cette adresse

Attention : Utiliser un certificat SSL valide est indispensable. A défaut, votre client de messagerie affichera un avertissement de sécurité et les outils mobiles (iOS et Android) peuvent ne pas pouvoir établir la connexion sécurisée à votre serveur POP / IMAP (Dovecot)

3. Configurer Dovecot avec SSL / TLS pour le protocole POPs et IMAPs

Recherchez si une configuration SSL est déjà présente par défaut dans vos fichiers de configuration Dovecot afin la remplacer par une configuration SSL / TLS valide.
La commande ci-dessous va rechercher les paramètres Dovecot liés au SSL / TLS actifs (non commentés) dans le répertoire "/etc/dovecot".

egrep -R "ssl_cert|ssl_key|ssl_protocols|ssl_cipher_list" /etc/dovecot | egrep -v "#" 

Si des résultats vous sont retournés, éditez le(s) fichier(s) où se trouve la configuration. A défaut, éditez /etc/dovecot/dovecot.conf et placez la configuration suivante : 

local_name "mail.wistee.fr" {
    ssl_cert = </etc/ssl/mail.wistee.fr/autres-formats/mail.wistee.fr+key.pem
    ssl_key = </etc/ssl/mail.wistee.fr/mail.wistee.fr.key
}

ssl = required
ssl_cipher_list = HIGH:!aNULL:!ADH:!DH:!RC4:!MD5:!RSA

# Pour Dovecot 2.2.x
ssl_protocols = TLSv1.2 TLSv1.1 TLSv1 !SSLv2 !SSLv3

# Pour Dovecot 2.3.x
ssl_min_protocol = TLSv1
 

Redémarrez votre service dovecot afin que les modifications soient prises en compte (service dovecot restart ou /etc/init.d/dovecot restart)


4. Tester la connexion à Dovecot avec TLS (POPs ou IMAPs)

openssl s_client -connect mail.wistee.fr:imaps 

Si la connexion TLS avec Dovecot s'est établie correctement, vous devez voir le protocole (idéalement TLS v1.2) et la méthode de cryptographie utilisées :

SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 35B1144D0F8C8AA189931B1C12D5F564197BD7EC4BCC7653628957E9E892BFEC
    
    [...]  

N'oubliez pas que si le certificat SSL est acheté chez Wistee, nous pouvons gratuitement prendre en charge l'installation du certificat SSL sur Dovecot.

Cette installation s'effectue avec vous, par téléphone, et via une prise de contrôle à distance de votre PC par TeamViewer.

Cliquez ici pour installer le certificat SSL sur Postfix