Linux / Verschlüsselung

Postfix TLS (STARTTLS) installieren / konfigurieren

- Ein Kommentar
Hinweis: Wir haben in diesem Artikel möglicherweise Provisions-Links verwendet und sie durch (*) gekennzeichnet. Erfolgt über diese Links eine Bestellung, erhält maffert.net eine Provision. Es entstehen für Sie keine Nachteile beim Kauf oder Preis.

Um in Postfix TLS zu aktivieren, sind nur ein paar konfigurationen notwendig. Zusätzlich braucht man noch ein eigenes Zertifikat, in meinem Fall ein selbstsigniertes.

  1. Ordner erstellen, rein wechseln und ein eigenes selbstsigniertes Zertifikat erstellen: 
    mkdir /etc/ssl/private/mail.testdomain.de
cd /etc/ssl/private/mail.testdomain.de
openssl genrsa -out selfmail.key 2048
openssl req -new -key selfmail.key -out selfmail.csr
openssl x509 -req -days 3650 -in selfmail.csr -out selfmail.cert -signkey selfmail.key
  2. Postfix main.cf editieren: 
    nano /etc/postfix/main.cf
  3. und folgendes einfügen: 
    #
# TLS fuer den E-Mailempfang
#
# Aktiviert TLS fuer
smtpd_use_tls                 = yes
# Aktiviert das Logging
smtpd_tls_loglevel            = 1
smtpd_tls_received_header     = yes
# Unverschluesselte Verbindung erlauben (may = entscheidet der Client)
smtpd_tls_security_level      = may
# Pfade zu den Keys
smtpd_tls_cert_file           = /etc/ssl/private/mail.testdomain.de/selfmail.cert
smtpd_tls_key_file            = /etc/ssl/private/mail.testdomain.de/selfmail.key
##smtpd_tls_CAfile              = /etc/ssl/private/mail.testdomain.de/ca.pem
# Definiert, ob nur noch mittels TLS Authentifiziert werden kann
smtpd_tls_auth_only           = no
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
tls_random_prng_update_period = 3600s
smtpd_tls_CApath = /etc/ssl/certs
#
# TLS fuer den E-Mailversand
#
# Aktiviert TLS
smtp_use_tls                 = yes
# Aktiviert das Logging
smtp_tls_loglevel            = 1
# Unverschluesselte Verbindung erlauben (may = entscheidet der Client)
smtp_tls_security_level      = may
# Pfade zu den Keys
smtp_tls_cert_file           = /etc/ssl/private/mail.testdomain.de/selfmail.cert
smtp_tls_key_file            = /etc/ssl/private/mail.testdomain.de/selfmail.key
##smtp_tls_CAfile              = /etc/ssl/private/mail.testdomain.de/ca.pem
smtp_tls_note_starttls_offer = yes
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_note_starttls_offer = yes
smtp_tls_CApath = /etc/ssl/certs
  4. Testen ob alles funktioniert: http://mxtoolbox.com/diagnostic.aspx
  5. Eine E-Mail verschicken und in die Logs schauen (/var/log/mail.log), dort sollte man dann folgendes finden: 
    postfix/smtpd[11854]: setting up TLS connection from 212.100.12.24.fixip.sonso.net[212.100.12.24]
postfix/smtpd[11854]: Anonymous TLS connection established from 212.100.12.24.fixip.sonso.net[212.100.12.24]: TLSv1 with cipher AES128-SHA (128/128 bits)

Ich empfehle immer zudem noch „Perfect Forward Secrecy (PFS)“ in Postfix und Dovecot zu aktivieren, eine schöne Anleitung finder man hier: https://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/

Verwandte Beiträge

Linux: Raspberry – Read Only Modus reparieren

Linux: Mosquitto MQTT Broker TLS/SSL installieren/einrichten

Linux: sa-compile Operation not permitted

Ein Kommentar zu “Postfix TLS (STARTTLS) installieren / konfigurieren”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert