Postfix/Kryptografie: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
Zum nächsten Versionsunterschied →
VisuellWikitext
Die Seite wurde neu angelegt: „Kategorie:Postfix
 
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
== TLS-(SSL-)Verschlüsselung ==
Wer einen MTA außerhalb des LANs anbieten (oder selber nutzen) möchte, sollte [https://de.wikipedia.org/wiki/Transport_Layer_Security TLS-Verschlüsselung] (ehemals SSL genannt) anbieten.
* Dafür benötigt man neben Postfix ein zweiteiliges SSL-/TLS-Zertifikat.
* Eine einfache Möglichkeit, an ein Dummy-Zertifikat zu kommen, bietet das Paket [https://wiki.ubuntuusers.de/ssl-cert/ ssl-cert], das hier benutzt wird.
* Wer den Server nicht nur privat nutzt, sollte sich aber auf jeden Fall ein richtiges, von einer respektierten Zertifizierungsstelle signiertes, Zertifikat besorgen.
Um TLS-Verschlüsselung zu aktivieren, muss man nur folgende Zeilen in die '''/etc/postfix/main.cf''' eintragen [https://wiki.ubuntuusers.de/Postfix/Erweiterte_Konfiguration/#source-3 [3]]:
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls = yes
Danach Postfix neu starten.
Zusätzlich zu den o.a. Konfigurationsdirektiven gibt es auch folgende:
smtpd_enforce_tls = yes
Diese bewirkt, dass Postfix die Verschlüsselung nicht nur optional anbietet, sondern explizit erzwingt.
Unterstützt der Client kein TLS, wird die Verbindung abgelehnt.
'''Hinweis'''
In Postfix 2.3 wurden die beiden Direktiven ''smtpd_use_tls'' und ''smtpd_enforce_tls'' zusammengefasst zu ''smtpd_tls_security_level'', mit den möglichen Werten ''may'' (Verschlüsselung möglich) und ''encrypt'' (Verschlüsselung erforderlich). Die alten Schlüsselwörter funktionieren aber aus Kompatibilitätsgründen vorerst weiterhin.
Außerdem ist zu beachten, dass ein Erzwingen der Verschlüsselung von vielen Emailservern nicht beachtet wird und Emails von anderen E-Mailservern (z.B. GMX) nicht an Ihre lokalen Postfächer zugestellt werden können.
=== Veraltet: ssmtp ===
* Früher benutzte man SSL/TLS nicht über den normalen SMTP-Port, sondern ohne besondere Protokollverhandlungen über den sog. ''ssmtp''- (oder ''smtps''-)Port 465.
* Wer das unterstützen möchte, um auch Uralt-Clients Verschlüsselung zu bieten, muss die '''/etc/postfix/master.cf''' ändern und den zusätzlichen Service eintragen:
smtps    inet  n      -      n      -      -      smtpd
-o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
[[Kategorie:Postfix]]
[[Kategorie:Postfix]]

Version vom 28. Mai 2022, 09:04 Uhr

TLS-(SSL-)Verschlüsselung

Wer einen MTA außerhalb des LANs anbieten (oder selber nutzen) möchte, sollte TLS-Verschlüsselung (ehemals SSL genannt) anbieten.

  • Dafür benötigt man neben Postfix ein zweiteiliges SSL-/TLS-Zertifikat.
  • Eine einfache Möglichkeit, an ein Dummy-Zertifikat zu kommen, bietet das Paket ssl-cert, das hier benutzt wird.
  • Wer den Server nicht nur privat nutzt, sollte sich aber auf jeden Fall ein richtiges, von einer respektierten Zertifizierungsstelle signiertes, Zertifikat besorgen.

Um TLS-Verschlüsselung zu aktivieren, muss man nur folgende Zeilen in die /etc/postfix/main.cf eintragen [3]: 

smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls = yes

Danach Postfix neu starten.

Zusätzlich zu den o.a. Konfigurationsdirektiven gibt es auch folgende: 

smtpd_enforce_tls = yes

Diese bewirkt, dass Postfix die Verschlüsselung nicht nur optional anbietet, sondern explizit erzwingt. Unterstützt der Client kein TLS, wird die Verbindung abgelehnt. 

Hinweis
In Postfix 2.3 wurden die beiden Direktiven smtpd_use_tls und smtpd_enforce_tls zusammengefasst zu smtpd_tls_security_level, mit den möglichen Werten may (Verschlüsselung möglich) und encrypt (Verschlüsselung erforderlich). Die alten Schlüsselwörter funktionieren aber aus Kompatibilitätsgründen vorerst weiterhin.

Außerdem ist zu beachten, dass ein Erzwingen der Verschlüsselung von vielen Emailservern nicht beachtet wird und Emails von anderen E-Mailservern (z.B. GMX) nicht an Ihre lokalen Postfächer zugestellt werden können.

Veraltet: ssmtp

  • Früher benutzte man SSL/TLS nicht über den normalen SMTP-Port, sondern ohne besondere Protokollverhandlungen über den sog. ssmtp- (oder smtps-)Port 465.
  • Wer das unterstützen möchte, um auch Uralt-Clients Verschlüsselung zu bieten, muss die /etc/postfix/master.cf ändern und den zusätzlichen Service eintragen:
smtps    inet  n       -       n       -       -       smtpd
-o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
Abgerufen von „https://wiki.foxtom.de/index.php?title=Postfix/Kryptografie&oldid=36545