Benutzer-Werkzeuge
fortgeschrittene:postfix-tls
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
| Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung | ||
|
fortgeschrittene:postfix-tls [2022/09/23 07:45] ingo_wichmann |
fortgeschrittene:postfix-tls [2024/08/10 10:48] (aktuell) ingo_wichmann |
||
|---|---|---|---|
| Zeile 25: | Zeile 25: | ||
| gpasswd -a postfix ssl | gpasswd -a postfix ssl | ||
| ==== Postfix konfigurieren ==== | ==== Postfix konfigurieren ==== | ||
| - | postconf -e "smtpd_use_tls = yes" | ||
| postconf -e "smtpd_tls_cert_file = /etc/ssl/certs/servercert.pem" | postconf -e "smtpd_tls_cert_file = /etc/ssl/certs/servercert.pem" | ||
| postconf -e "smtpd_tls_key_file = /etc/ssl/private/serverkey.pem" | postconf -e "smtpd_tls_key_file = /etc/ssl/private/serverkey.pem" | ||
| postconf -e "smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem" | postconf -e "smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem" | ||
| + | postconf -e "smtpd_use_tls = yes" | ||
| - | oder besser wie von [[https://ssl-config.mozilla.org/#server=postfix&version=3.5.13&config=intermediate&openssl=1.1.1n|Mozilla]] vorgeschlagen (( | + | oder besser wie von [[https://ssl-config.mozilla.org/#server=postfix&config=intermediate|Mozilla]] vorgeschlagen (( |
| <file txt main.cf> | <file txt main.cf> | ||
| # generated 2022-09-23, Mozilla Guideline v5.6, Postfix 3.5.13, OpenSSL 1.1.1n, intermediate configuration | # generated 2022-09-23, Mozilla Guideline v5.6, Postfix 3.5.13, OpenSSL 1.1.1n, intermediate configuration | ||
| Zeile 52: | Zeile 52: | ||
| ==== testen === | ==== testen === | ||
| + | === netcat === | ||
| netcat localhost smtp | netcat localhost smtp | ||
| EHLO asdf | EHLO asdf | ||
| Zeile 58: | Zeile 59: | ||
| 250-STARTTLS | 250-STARTTLS | ||
| </file> | </file> | ||
| + | === openssl === | ||
| openssl s_client -starttls smtp -CApath /etc/ssl/certs -connect localhost:25 | openssl s_client -starttls smtp -CApath /etc/ssl/certs -connect localhost:25 | ||
| + | === swaks === | ||
| swaks -f me.example.com -t you.example.com -tls -s 127.0.0.1 | swaks -f me.example.com -t you.example.com -tls -s 127.0.0.1 | ||
| + | |||
| + | ===== DANE ===== | ||
| + | DNS Resource Record erzeugen: | ||
| + | |||
| + | postfix tls output-server-tlsa | ||
| + | oder | ||
| + | postfix tls output-server-tlsa /var/lib/dehydrated/certs/example.com/privkey.pem | ||
| + | |||
| + | Den TLSA Resource Record muss man immer neu erzeugen, wenn der öffentliche Schlüssel des Zertifikats sich ändert. TODO: certbot oder dehydrated so aufrufen, dass der bisherige Schlüssel wieder verwendet wird. | ||
| + | |||
| + | ... und im DNS hinterlegen. | ||
| ====== Dokus & Links ====== | ====== Dokus & Links ====== | ||
| * http://www.state-of-mind.de/vortraege/ | * http://www.state-of-mind.de/vortraege/ | ||
fortgeschrittene/postfix-tls.1663919159.txt.gz · Zuletzt geändert: 2022/09/23 07:45 von ingo_wichmann
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
