Vorraussetzungen

Einfache postfix Installation
ssl Zertifikat erzeugt
Korrektes DNS
Korrekte Uhrzeiten auf allen Rechnern

https://ssl-config.mozilla.org/#server=postfix&version=3.4.8&config=intermediate&openssl=1.1.1k&guideline=5.6 berücksichtigen

SSL / TLS für Postfix

Server-Zertifikat für verschlüsselte Verbindungen

Wie in ssl beschrieben Server-Zertifikat bauen

cd /etc/ssl
cp /root/server-ssl/servercert.pem certs/
cp /root/server-ssl/serverkey.pem  private/
cp /home/ca/ca.*/cacert.pem  certs/

chmod 640 private/serverkey.pem
chgrp ssl private/serverkey.pem

openSuSE 12.1

postfix Benutzer Zugriff auf ssl-Verzeichnis erlauben

gpasswd -a postfix ssl

Postfix konfigurieren

postconf -e "smtpd_use_tls = yes"
postconf -e "smtpd_tls_cert_file = /etc/ssl/certs/servercert.pem"
postconf -e "smtpd_tls_key_file  = /etc/ssl/private/serverkey.pem"
postconf -e "smtpd_tls_CAfile    = /etc/ssl/certs/cacert.pem"

²⁾

testen

netcat localhost smtp
EHLO asdf

..

250-STARTTLS

openssl s_client -starttls smtp -CApath /etc/ssl/certs -connect localhost:25

swaks -f me.example.com -t you.example.com -tls -s 127.0.0.1

Dokus & Links

¹⁾

smtpd_tls_dh1024_param_file = ${config_directory}/dhparams.pem in /etc/postfix/main.cf

²⁾

zusätzlich sollte man besser alte SSL/TLS Versionen nicht erlauben:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1

ab Postfix Version >= 3.6 kann man das einfacher und zukunftssicherer so schreiben:

smtpd_tls_mandatory_protocols = >=TLSv1.2
smtpd_tls_protocols = >=TLSv1.2

Linuxhotel Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Inhaltsverzeichnis