Viele Serverbetreiber sind inzwischen um eine sichere Verbindung für ihren Webserver bemüht, aber dier meisten vergessen noch immer auch den Mailserver abzusichern, dabei geht das mit nur wenigen Konfigurationszeilen. Vorraussetzung hierfür ist dass man bereits ein SSL Zertifikat hat (der Pfad zum Zertifikat muss im folgenden Snippet angepasst werden).
Folgende Konfiguration wird in **/etc/postfix/main.cf** am Ende der Datei eingefügt:
# Aktiviert TLS
smtp_use_tls = yes
# Aktiviert das Logging
smtp_tls_loglevel = 1
# Unverschluesselte Verbindung erlauben (may = entscheidet der Client)
smtp_tls_security_level = may
# Pfade zu den Keys
smtp_tls_cert_file = /etc/ssl/certfile.crt
smtp_tls_key_file = /etc/ssl/keyfile.key
smtp_tls_CAfile = /etc/ssl/cabundle.pem
smtp_tls_note_starttls_offer = yes
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_note_starttls_offer = yes
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_exclude_ciphers = RC4, aNULL
smtp_tls_ciphers = high
smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtp_tls_loglevel = 1
smtp_tls_note_starttls_offer = yes
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_ciphers = high
smtpd_tls_eecdh_grade = strong
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_mandatory_ciphers= high
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
Danach noch den Mailserver neustarten:
> /etc/init.d/postfix restart
Testen kann man die neue Konfiguration z.b. mit dieser Webseite:
Hinterlasse jetzt einen Kommentar