Postfix TLS (STARTTLS) installieren / konfigurieren

Um in Postfix TLS zu aktivieren, sind nur ein paar konfigurationen notwendig. Zusätzlich braucht man noch ein eigenes Zertifikat, in meinem Fall ein selbstsigniertes.

  1. Ordner erstellen, rein wechseln und ein eigenes selbstsigniertes Zertifikat erstellen:
    mkdir /etc/ssl/private/mail.testdomain.de
    cd /etc/ssl/private/mail.testdomain.de
    openssl genrsa -out selfmail.key 2048
    openssl req -new -key selfmail.key -out selfmail.csr
    openssl x509 -req -days 3650 -in selfmail.csr -out selfmail.cert -signkey selfmail.key
  2. Postfix main.cf editieren:
    nano /etc/postfix/main.cf
  3. und folgendes einfügen:
    #
    # TLS fuer den E-Mailempfang
    #
    # Aktiviert TLS fuer
    smtpd_use_tls                 = yes
    # Aktiviert das Logging
    smtpd_tls_loglevel            = 1
    smtpd_tls_received_header     = yes
    # Unverschluesselte Verbindung erlauben (may = entscheidet der Client)
    smtpd_tls_security_level      = may
    # Pfade zu den Keys
    smtpd_tls_cert_file           = /etc/ssl/private/mail.testdomain.de/selfmail.cert
    smtpd_tls_key_file            = /etc/ssl/private/mail.testdomain.de/selfmail.key
    ##smtpd_tls_CAfile              = /etc/ssl/private/mail.testdomain.de/ca.pem
    # Definiert, ob nur noch mittels TLS Authentifiziert werden kann
    smtpd_tls_auth_only           = no
    smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
    smtpd_tls_session_cache_timeout = 3600s
    tls_random_source = dev:/dev/urandom
    tls_random_prng_update_period = 3600s
    smtpd_tls_CApath = /etc/ssl/certs
    #
    # TLS fuer den E-Mailversand
    #
    # Aktiviert TLS
    smtp_use_tls                 = yes
    # Aktiviert das Logging
    smtp_tls_loglevel            = 1
    # Unverschluesselte Verbindung erlauben (may = entscheidet der Client)
    smtp_tls_security_level      = may
    # Pfade zu den Keys
    smtp_tls_cert_file           = /etc/ssl/private/mail.testdomain.de/selfmail.cert
    smtp_tls_key_file            = /etc/ssl/private/mail.testdomain.de/selfmail.key
    ##smtp_tls_CAfile              = /etc/ssl/private/mail.testdomain.de/ca.pem
    smtp_tls_note_starttls_offer = yes
    smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
    smtp_tls_note_starttls_offer = yes
    smtp_tls_CApath = /etc/ssl/certs
  4. Testen ob alles funktioniert: http://mxtoolbox.com/diagnostic.aspx
  5. Eine E-Mail verschicken und in die Logs schauen (/var/log/mail.log), dort sollte man dann folgendes finden:
    postfix/smtpd[11854]: setting up TLS connection from 212.100.12.24.fixip.sonso.net[212.100.12.24]
    postfix/smtpd[11854]: Anonymous TLS connection established from 212.100.12.24.fixip.sonso.net[212.100.12.24]: TLSv1 with cipher AES128-SHA (128/128 bits)

Ich empfehle immer zudem noch „Perfect Forward Secrecy (PFS)“ in Postfix und Dovecot zu aktivieren, eine schöne Anleitung finder man hier: https://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_bye.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_good.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_negative.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_scratch.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_wacko.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_yahoo.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_cool.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_heart.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_rose.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_smile.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_whistle3.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_yes.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_cry.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_mail.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_sad.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_unsure.gif 
https://www.maffert.net/wp-content/plugins/wp-monalisa/icons/wpml_wink.gif