Postfix TLS (STARTTLS) installieren / konfigurieren

Hinweis: Wir haben in diesem Artikel möglicherweise Provisions-Links verwendet und sie durch (*) gekennzeichnet. Erfolgt über diese Links eine Bestellung, erhält maffert.net eine Provision. Es entstehen für Sie keine Nachteile beim Kauf oder Preis.

Um in Postfix TLS zu aktivieren, sind nur ein paar konfigurationen notwendig. Zusätzlich braucht man noch ein eigenes Zertifikat, in meinem Fall ein selbstsigniertes.

  1. Ordner erstellen, rein wechseln und ein eigenes selbstsigniertes Zertifikat erstellen:
    mkdir /etc/ssl/private/mail.testdomain.de
    cd /etc/ssl/private/mail.testdomain.de
    openssl genrsa -out selfmail.key 2048
    openssl req -new -key selfmail.key -out selfmail.csr
    openssl x509 -req -days 3650 -in selfmail.csr -out selfmail.cert -signkey selfmail.key
  2. Postfix main.cf editieren:
    nano /etc/postfix/main.cf
  3. und folgendes einfügen:
    #
    # TLS fuer den E-Mailempfang
    #
    # Aktiviert TLS fuer
    smtpd_use_tls                 = yes
    # Aktiviert das Logging
    smtpd_tls_loglevel            = 1
    smtpd_tls_received_header     = yes
    # Unverschluesselte Verbindung erlauben (may = entscheidet der Client)
    smtpd_tls_security_level      = may
    # Pfade zu den Keys
    smtpd_tls_cert_file           = /etc/ssl/private/mail.testdomain.de/selfmail.cert
    smtpd_tls_key_file            = /etc/ssl/private/mail.testdomain.de/selfmail.key
    ##smtpd_tls_CAfile              = /etc/ssl/private/mail.testdomain.de/ca.pem
    # Definiert, ob nur noch mittels TLS Authentifiziert werden kann
    smtpd_tls_auth_only           = no
    smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
    smtpd_tls_session_cache_timeout = 3600s
    tls_random_source = dev:/dev/urandom
    tls_random_prng_update_period = 3600s
    smtpd_tls_CApath = /etc/ssl/certs
    #
    # TLS fuer den E-Mailversand
    #
    # Aktiviert TLS
    smtp_use_tls                 = yes
    # Aktiviert das Logging
    smtp_tls_loglevel            = 1
    # Unverschluesselte Verbindung erlauben (may = entscheidet der Client)
    smtp_tls_security_level      = may
    # Pfade zu den Keys
    smtp_tls_cert_file           = /etc/ssl/private/mail.testdomain.de/selfmail.cert
    smtp_tls_key_file            = /etc/ssl/private/mail.testdomain.de/selfmail.key
    ##smtp_tls_CAfile              = /etc/ssl/private/mail.testdomain.de/ca.pem
    smtp_tls_note_starttls_offer = yes
    smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
    smtp_tls_note_starttls_offer = yes
    smtp_tls_CApath = /etc/ssl/certs
  4. Testen ob alles funktioniert: http://mxtoolbox.com/diagnostic.aspx
  5. Eine E-Mail verschicken und in die Logs schauen (/var/log/mail.log), dort sollte man dann folgendes finden:
    postfix/smtpd[11854]: setting up TLS connection from 212.100.12.24.fixip.sonso.net[212.100.12.24]
    postfix/smtpd[11854]: Anonymous TLS connection established from 212.100.12.24.fixip.sonso.net[212.100.12.24]: TLSv1 with cipher AES128-SHA (128/128 bits)

Ich empfehle immer zudem noch „Perfect Forward Secrecy (PFS)“ in Postfix und Dovecot zu aktivieren, eine schöne Anleitung finder man hier: https://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/

Ein Kommentar zu “Postfix TLS (STARTTLS) installieren / konfigurieren”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert