POSTFIX - Einrichtung PFS (Perfect Forward Secrecy)

Test:
openssl s_client -starttls smtp -connect mailserver.domain.com:25

Einrichtung:

Prüfung der eingerichteten Versionen von OpenSSL und Postfix:
openssl version >> sollte > 1.0 sein
postconf mail_version >> sollte > 2.0 sein

Erzeugen von 2 DH (Diffie-Hellmann)Schlüssel mit 512Bit und 2048Bit Schlüssellänge:
openssl dhparam -out /etc/postfix/dh_512.pem -2 512
openssl dhparam -out /etc/postfix/dh_2048.pem -2 2048

Einbinden der Schlüssel in die aktuelle Konfiguration:
postconf -e "smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem"
postconf -e "smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem"
Anpassung der DH-Einstellungen
postconf -e "smtpd_tls_eecdh_grade = strong"
postconf -e "tls_preempt_cipherlist = yes"

(Optional) Anpassung der Log-Leveleinstellungen für postfix (für Troubleshooting etc.):
postconf -e "smtpd_tls_loglevel = 1"
postconf -e "smtp_tls_loglevel = 1"

Konfiguration neu einlesen bzw. gegebenefalls Postfix-Dienst neu starten:
postfix reload
service postfix restart / /etc/init.d/postfix restart
Erneuter Test:
openssl s_client -starttls smtp -connect mailserver.domain.com:25

Ergebnis sollte folgende Zeilen enthalten:
Protocol  : TLSv1.2    Cipher    : ECDHE-RSA-AES256-GCM-SHA384

Externe Prüfung über:
https://de.ssl-tools.net/mailservers/

 
© 2024 ziggymania.de Designed S.Wommer
Wir benutzen Cookies

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.