Activation de tls sur postfix, interdiction du sasl avec mot de passe en clair sans tls

docker-compose/mail.yml

@@ -25,6 +25,7 @@ services:
    volumes:
       - /var/lib/docker/volumes/mail-mta-log/_data:/var/log
       - /DATA/docker/mail/opendkim/nov2018.private:/etc/dkimkeys/nov2018.picasoft.net.rsa:ro
+      - /DATA/docker/mail/ssl/:/certs-ssl/
    environment:
      - LMTP_LAN_HOSTNAME=pica-mail-mda.pica_mail
    labels:

pica-mail-mta/entrypoint.sh

@@ -70,7 +70,11 @@ service saslauthd  restart
 #le SASL se fait entre le client SMTP et le conteneur MTA, donc on indique notre nom d'hôte
 postconf -e 'smtpd_sasl_local_domain = '
 postconf -e 'smtpd_sasl_auth_enable = yes'
-postconf -e 'smtpd_sasl_security_options = noanonymous'
+#interdit le sasl avec mot de passe en clair sur un canal en clair. (il existe des méthodes permettant de chiffrer seulement le mot de passe)
+postconf -e 'smtpd_sasl_security_options = noanonymous, noplaintext'
+#autorise le sasl avec mot de passe en clair sur un canal tls
+postconf -e 'smtpd_sasl_tls_security_options = noanonymous'
+
 #autorise l'auth depuis des clients connus comme obsolètes/non standard (outlook) mais ne présentant pas de faille de sécurité
 postconf -e 'broken_sasl_auth_clients = yes'
 #indique que la source des utilisateurs SASL est un serveur LDAP
@@ -113,8 +117,11 @@ adduser postfix opendmarc
 
 
 #SSL : récupération des certificats (qui seront utilisés pour la connexion smtp)
-#postconf -e 'smtpd_tls_cert_file = /etc/letsencrypt/live/<your.domain>/fullchain.pem'
-#postconf -e 'smtpd_tls_key_file = /etc/letsencrypt/live/<your.domain>/privkey.pem'
+postconf -e 'smtpd_tls_cert_file = /certs-ssl/cert'
+postconf -e 'smtpd_tls_key_file = /certs-ssl/key'
+postconf -e 'smtpd_tls_security_level = may'
+
+
 
 
 
@@ -140,3 +147,4 @@ service opendmarc start
 service opendkim start
 service postfix start
 tail -F /var/log/mail.log
+