PFS (Perfect Forward Secrecy) basiert auf der Idee, dass der Client und der Server ihre Kommunikation über einen zusätzlichen temporären wechselnden Schlüssel absichern. Da der Verbindungsaufbau so durchgeführt wird, dass der Schlüssel selbst nicht ausgetauscht werden muss, kann der jeweils benutzte Sitzungsschlüssel auch nicht aufgezeichnet werden. Eine nachträgliche Entschlüsselung einer aufgezeichneten Session ist damit unmöglich!

Alle nachfolgenden Beschreibungen, basieren mitunter auf Informationen aus nachfolgendem Link:

• Heinlein-Suppoert - BLOG - Perfect Forward Secrecy (PFS) für Postfix und Dovecot einrichten

Um für einen lauffähigen Postfix Mail-Transport Agent PFS (Perfect Forward Secrecy) zu aktivieren und einzusetzen sind nur wenige Konfigurationen in der main.cf des Postfix notwendig.

WICHTIG - Grundlage ist jedoch, das sich TLS bereits aktiv im Einsatz befindet !!!

Wie TLS (Transport Layer Security) eingesetzt werden kann wird unter nachfolgendem internen Link beschrieben:

• Postfix TLS einsetzen

Um darüber hinaus auch PFS einsetzen zu können, sind folgende Voraussetzungen:

• Postfix Mail-Transport Agent ab Version 2.6.x
• OpenSSL ab Version 1.0.x

und Komponenten erforderlich:

• Diffie-Hellmann-Schlüssel mit 1024 bit und 512 bit

Ab hier werden root-Rechte zur Ausführung der nachfolgenden Befehle benötigt. Um root zu werden geben Sie bitte folgenden Befehl ein:

$ su -
Password: 

Mit nachfolgenden Befehlen kann überprüft werden, ob die Voraussetzungen in Bezug auf die installierte Postfix und OpenSSL Version erfüllt sind.

Befehl zu Überprüfung der installierten Postfix Version:

# postconf mail_version
mail_version = 2.6.6

Befehl zu Überprüfung der installierten OpenSSL Version:

# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

Beide Voraussetzungen,

• Postfix Mail-Transport Agent ab Version 2.6.x
• OpenSSL ab Version 1.0.x

müssen erfüllt sein!