Сейчас SSL сертификаты можно получить бесплатно и те кому интересна данная тема без труда найдут информацию о получении бесплатных сертификатов StartSSL. Есть хорошая статья по этому поводу на Хабре, поэтому я не буду останавливаться подробно на процессе получения самих ключей и сертификатов, а перейду сразу к процессингу настройки почтового сервера,веб сервера... для работы с SSL.

Итак. Подразумевается, что уже имеете секретный ключ и сертификат подписанный StartSSL. Сразу хочу сказать, что все ключи и сертификат нужно надежно сохранить как минимум до момента, когда вы убедились, что все сертификаты корректно работают на сервере, а лучше всего до окончания срока их действия (1 год).

Введу некоторые обозначения:

• ssl.key - Приватный ключ
• ssl.crt - Сертификат подписанный StartSSL
• ssl_enc.key - Публичный ключ
• sub.class1.server.ca.pem - Сертификат промежуточного CA
• ca-bundle.pem - Цепочка сертификатов

Для начала я немного расскажу, что такое Rspamd. Rspamd - это альтернативный SpamAssassin'у демон (служба) для фильтрации почтового спама. Показывает гораздо большую производительность, чем Spamassassin, а также имеет гибкие настройки и легко интегрируется с MTA Postfix и Exim. Насколько мне известно, данный продукт весьма успешно трудится в Rambler почте, а разработчиком является Всеволод Стахов.

После казалось бы последнего штриха с SASL аутентификацией ничего не должно было стоять на пути у нормальной работы почтового сервера, но это оказалось не так. Почта уходила нормально, а вот входящие письма Postfix скидывал в очередь на доставку со статусом Deferred (отложено). Вообще хочется сказать, что у любого пользователя UNIX-like систем, будь он хоть гуру, админом, или просто интересующимся пользователем должна выработаться привычка -- при появлении проблем первым делом смотреть в логи. Логи это Ваш самый первый помощник и скорее всего после его анализа Вы самостоятельно сможете исправить неполадки. В моем случае это также было справедливо.

На ниве знакомства с Debian после Gentoo возникла еще одна небольшая проблемка. Цель была тривиальна - поднять сервер с Postfix и SASL авторизацией в нем через Dovecot в Debian. В конфигах ничего криминального видно не было, в conf.d/10-master.conf был указан сокет для подключения к нему с указанием абсолютного пути, но Postfix упорно ругался что не видит механизмов SASL аутентификации.

Если Вы читаете данную статью, то скорее всего хотите настроить почтовый сервер для работы по защищенному соединению. Также я предполагаю, что уже есть работающий Postfix/Dovecot, сертификаты и их ключи. После того как мы прописали в конфигах использовать SSL, указали в них же файлы сертификатов и ключей, но при попытке соединиться с сервером по защищенному соединению получаем ошибку

SSL: error:0906D066:PEM routines:PEM_read_bio:bad end line