Linux 
POSTFIX - Einrichtung PFS (Perfect Forward Secrecy)

Test:
openssl s_client -starttls smtp -connect mailserver.domain.com:25

Einrichtung:

Prüfung der eingerichteten Versionen von OpenSSL und Postfix:
openssl version >> sollte > 1.0 sein
postconf mail_version >> sollte > 2.0 sein

Erzeugen von 2 DH (Diffie-Hellmann)Schlüssel mit 512Bit und 2048Bit Schlüssellänge:
openssl dhparam -out /etc/postfix/dh_512.pem -2 512
openssl dhparam -out /etc/postfix/dh_2048.pem -2 2048

Einbinden der Schlüssel in die aktuelle Konfiguration:
postconf -e "smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem"
postconf -e "smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem"
Anpassung der DH-Einstellungen
postconf -e "smtpd_tls_eecdh_grade = strong"
postconf -e "tls_preempt_cipherlist = yes"

(Optional) Anpassung der Log-Leveleinstellungen für postfix (für Troubleshooting etc.):
postconf -e "smtpd_tls_loglevel = 1"
postconf -e "smtp_tls_loglevel = 1"

Konfiguration neu einlesen bzw. gegebenefalls Postfix-Dienst neu starten:
postfix reload
service postfix restart / /etc/init.d/postfix restart
Erneuter Test:
openssl s_client -starttls smtp -connect mailserver.domain.com:25

Ergebnis sollte folgende Zeilen enthalten:
Protocol  : TLSv1.2    Cipher    : ECDHE-RSA-AES256-GCM-SHA384

Externe Prüfung über:
https://de.ssl-tools.net/mailservers/

 
© 2024 ziggymania.de Designed S.Wommer