Verschlüsselte Server-to-Server Verbindungen mit Postfix (=> „E-Mail made in Germany“)

Die Verschlüsselung des Mailtransports ist das, was auch von United Internet (GMX, Web.de) und der Telekom als „E-Mail made in Germany“ beworben wird. Diese Server-2-Server Verschlüsselung kann man problemlos auch auf seinem eigenen Mailserver einrichten, sodass der Server ebenfalls verschlüsselt mit den Mailservern der großen Anbieter kommunizieren kann.
Es handelt sich hier NUR um eine Transportverschlüsselung.
Die E-Mails werden nach dem Transport trotzdem wieder in Klartext auf den Mailservern gespeichert.

Anpassungen in der main.cf
[fusion_builder_container hundred_percent=”yes” overflow=”visible”][fusion_builder_row][fusion_builder_column type=”1_1″ background_position=”left top” background_color=”” border_size=”” border_color=”” border_style=”solid” spacing=”yes” background_image=”” background_repeat=”no-repeat” padding=”” margin_top=”0px” margin_bottom=”0px” class=”” id=”” animation_type=”” animation_speed=”0.3″ animation_direction=”left” hide_on_mobile=”no” center_content=”no” min_height=”none”]

##### TLS settings ######
tls_ssl_options = NO_COMPRESSION

### outgoing connections ###
smtp_tls_security_level=may
smtp_tls_cert_file=/etc/letsencrypt/live/www.tj-braun.de/fullchain.pem
smtp_tls_key_file=/etc/letsencrypt/live/www.tj-braun.de/privkey.pem
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_exclude_ciphers = RC4, aNULL

### incoming connections ###
smtpd_use_tls=yes
smtpd_tls_security_level=may
smtpd_tls_cert_file=/etc/letsencrypt/live/www.tj-braun.de/fullchain.pem
smtpd_tls_key_file=/etc/letsencrypt/live/www.tj-braun.de/privkey.pem
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2 !SSLv3
smtpd_tls_exclude_ciphers = RC4, aNULL
##### TLS settings ######

Block 1 schaltet die TLS-Kompression aus, welche u.U. die Verschlüsselung schwächen könnte.
Block 2 ist für die ausgehenden Verbindungen zuständig. Das Security Level “may” bedeutet, dass grundsätzlich verschlüsselt werden soll, es sei denn, die Gegenstelle unterstützt es nicht.
Block 3 ist für die eingehenden Verbindungen zuständig.
Die Protokolle SSLv2 und SSLv3 werden nicht unterstützt und die Cipher Suite RC4 wird ausgeschlossen (keine sicheren Protokolle mehr)[/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s