构建反病毒反垃圾邮件系统(四)

　　通过修改/usr/lib/ssl/misc/CA.pll脚本实现，以下修改后CA1.pl和未修改CA.pl之间的对比：

　　*** CA.pl
　　--- CA1.pl
　　***************
　　*** 59,69 ****
　　} elsif (/^-newcert$/) {
　　# create a certificate
　　! system ("$REQ -new -x509 -keyout newreq.pem -out newreq.pem $DAYS");
　　$RET=$?;
　　print "Certificate (and private key) is in newreq.pem\n"
　　} elsif (/^-newreq$/) {
　　# create a certificate request
　　! system ("$REQ -new -keyout newreq.pem -out newreq.pem $DAYS");
　　$RET=$?;
　　print "Request (and private key) is in newreq.pem\n";
　　} elsif (/^-newca$/) {
　　--- 59,69 ----
　　} elsif (/^-newcert$/) {
　　# create a certificate
　　! system ("$REQ -new -x509 -nodes -keyout newreq.pem -out newreq.pem $DAYS");
　　$RET=$?;
　　print "Certificate (and private key) is in newreq.pem\n"
　　} elsif (/^-newreq$/) {
　　# create a certificate request
　　! system ("$REQ -new -nodes -keyout newreq.pem -out newreq.pem $DAYS");
　　$RET=$?;
　　print "Request (and private key) is in newreq.pem\n";
　　} elsif (/^-newca$/) {

　　现在就可以使用修改的CA1.pl来签发证书：

　　# cd /usr/local/ssl/misc
　　# ./CA1.pl -newca
　　# ./CA1.pl -newreq
　　# ./CA1.pl -sign
　　# cp demoCA/cacert.pem /etc/postfix/CAcert.pem
　　# cp newcert.pem /etc/postfix/cert.pem
　　# cp newreq.pem /etc/postfix/key.pem

　　修改main.cf，添加：

　　smtpd_tls_cert_file = /etc/postfix/cert.pem
　　smtpd_tls_key_file = /etc/postfix/privkey.pem
　　smtpd_use_tls = yes
　　tls_random_source = dev:/dev/urandom
　　tls_daemon_random_source = dev:/dev/urandom

　　重起postfix后就可以看到250-STARTTLS

　　很多邮件客户端对TLS的支持并不是非常好，建议使用stunnel来实现相应的smtp和pop3加密。

　　# apt-get install stunnel

　　证书：

　　# openssl req -new -x509 -days 365 -nodes -config /etc/ssl/openssl.cnf -out stunnel.pem -keyout stunnel.pem
　　# openssl gendh 512