OVH Community, votre nouvel espace communautaire.

SMTP et TLS


Fraise
03/03/2016, 21h33
Oui, tu as raison pour les MUA. Gmail d'ailleurs ne récupère pas les email en pop3 ou imap TLS si il n'y a pas de certificat valide.

Par contre pour les MTA, tu es sûr ? J'ai pour l'instant installé mon certificat auto-signé et je reçois bien les emails provenant de gmail et pourtant google semble le plus pointilleux sur la sécurité. Par contre en envoi on est bien d'accord que le certificat n'a aucune importance ? C'est bien le serveur qui s'authentifie et jamais le client ?

TBC_Ly0n
03/03/2016, 12h39
De plus en plus de clients (MUA) refusent les certificats auto-signés.
Sur une Debian Jessie avec Roundcube, j'étais obligé de ruser... jusqu'à prendre un certificat DV chez StartSSL gratuit.
Certains Serveurs (MTA) ont tendance à couiner aussi quand le certificat n'est pas valide.

lxwfr
01/03/2016, 03h43
encore pire: serveur non sécuriser aux passage servira à quoi le ssl...

- - - Mise à jour - - -

j'ai résament testé la révoke est payante

janus57
29/02/2016, 18h50
Bonjour,

sinon au pire y a des SSL comodo à 9-12€/an (Cf : https://www.namecheap.com/security/s...sitivessl.aspx), donc pourquoi lâcher 70€/an ?

Sinon Let's Encrypt est peut être en bêta, mais visiblement cela n’empêche pas de "gros" hébergeur de les utiliser (online.net/infomaniak et y en a surement d'autre et bientôt OVH).

Cordialement, janus57

fritz2cat
29/02/2016, 13h28
J'avais l'habitude de StartSSL à 0€ pour un an en DV.
Récemment leurs serveurs semblent avoir été exportés d'Israël vers la Chine, je trouve cela un peu bizarre.
Mais le service a toujours bien fonctionné pour moi.
Si on fabrique ses clés soi-même et qu'on envoie un CSR pour recevoir un certificat, alors l'autorité de certification n'a pas de copie de la clé privée.

mantex
29/02/2016, 12h39
Let's Encrypt est encore en beta et il est déconseillé de l' utilisé en prod , comme avec les certifs auto-signés , certains clients mail peuvent générer des warnings voir des blocages.

Je cite :

Note: Let’s Encrypt is in beta. Please don’t use it unless you’re comfortable with beta software that may contain bugs.
On peut trouver aujoud' hui du QuickSSL en DV à moins de 70 euros / an , reconnu par tous clients et donc si le services est minimum sérieux ,cela ne vaut pas le coup de le priver de quelques choses de propre.

Bonne journée.

Fraise
27/02/2016, 17h20
OK, si c'est aussi simple alors je vais me tourner vers ça. Mercis !

sich
27/02/2016, 15h09
au pire un renouvellement à la main en 1 ligne de commande...
En + tu reçois un mail avant l'expiration du certificat donc pas de risque d'oublier non plus...

bbr18
27/02/2016, 12h34
franchement la mise en place prend 10mn

Fraise
27/02/2016, 12h04
Oui, c'est vrai pour ce qui est de pop ou imap, gmail vérifie le certificat tout comme beaucoup de clients messagerie d'ailleurs.

Autrement je vais tester avec un auto signé puis je verrai pour un startssl, peut-être let's encrypt aussi mais j'ai pas trop le temps en ce moment pour lire des tutos pour le renouvellement.

Merci pour vos réponses.

buddy
27/02/2016, 09h20
Gmail refuse les certificats auto signés si tu veux relever tes mails dans Google c'est tout.

Après, c'est vrai que lets encrypt est gratuit et se renouvelle tout seul. (il y a plein plein de tutos pour l'installer et lancer le renouvellement auto).

fritz2cat
26/02/2016, 22h17
Je suis avec un certificat auto-signé et à ce jour je n'ai pas de problème ni en envoi ni en réception.

sich
26/02/2016, 22h05
letsencrypt est gratuit et fonctionne très bien pour les certifs mails.
Dans la mesure du possible il vaut mieux éviter les auto signés.

bbr18
26/02/2016, 20h54
c'est simple : tu mets un cron qui renouvelle tout seul ^^

janus57
26/02/2016, 20h54
Bonjour,

Si il faut renouveler tous les 90 jours ça peut être embêtant
pourquoi ?

Un simple script qui le fait tout seul et 0 problème (je suis sûr que cela doit déjà exister en plus).

Je crois que google aime pas les self-signed, en tout cas perso j'ai toujours utilisé un certificat startssl (le gratuit) sur un exim4 en sortie de mail et 0 problèmes.

Cordialement, janus57

Fraise
26/02/2016, 20h39
Si il faut renouveler tous les 90 jours ça peut être embêtant mais après réflexion pour l'envoi il n'y a pas de souci, c'est pas au client d'être authentifié.
Et pour la réception, je viens de faire quelques recherches et visiblement le but est surtout de crypter ici et il n'y a pas vraiment de vérification de clé pour l'instant.
Donc je vais déjà voir avec un self signed et si je ne reçois plus rien j'aviserai !

janus57
26/02/2016, 20h10
Bonjour,

pour être sûr essayer avec Let's Encrypt normalement cela doit passer, faut juste penser à le renouveler avant la fin des 90jours.

Cordialement, janus57

Freemaster
26/02/2016, 20h04
quitte à utiliser un auto signé, autant se servir de letscencrypt... c'est gratuit

Fraise
26/02/2016, 19h40
Bonjour à tous,

Je vais installer TLS sur mon serveur de mail par contre faut-il un certificat fourni pas une autorité certifiée pour ça ou bien un simple auto-signé suffit ?
Je ne voudrais pas que tous mes mails soit rejetés à cause de ça.