Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tachtler:postfix_pfs_einsetzen [2013/12/19 10:42] – klaus
+++ tachtler:postfix_pfs_einsetzen [2014/04/28 11:02] (aktuell) – [Konfiguration: /etc/postfix/main.cf] klaus
@@ Zeile 100: / Zeile 100: @@
 ===== Konfiguration: /etc/postfix/main.cf =====
-Nachfolgende Einträge müssen nun in der Konfigurationsdatei von [[http://www.postfix.org/|Postfix]] ergänzt werden:
+Nachfolgende Einträge müssen nun in der Konfigurationsdatei von [[http://www.postfix.org/|Postfix]] ergänzt werden (**nur relevanter Ausschnitt**):
 <code ini>
-# SPF Encryption
+...
+# PFS Encryption
 smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem
 smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
@@ Zeile 110: / Zeile 111: @@
 smtpd_tls_loglevel = 1
 smtp_tls_loglevel = 1
+...
 </code>
@@ Zeile 118: / Zeile 120: @@
 smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem
 smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
+</code>
+Die Unterstützung für "elliptic curve cryptography" welche ab [[http://www.postfix.org/|Postfix]] **Version 2.6.x** und [[http://www.openssl.org|OpenSSL]] ab **Version 1.0.0** verfügbar ist.
+__Mögliche Einstellungen__:
+  * ''smtpd_tls_eecdh_grade = strong''
+  * ''smtpd_tls_eecdh_grade = ultra''
+Die Einstellung **''ultra''** benötigt mehr CPU als die Einstellung **''strong''**.
+<code ini>
+smtpd_tls_eecdh_grade = strong
+</code>
+[[http://www.postfix.org/|Postfix]] **Version 2.8.x**, in Kombination mit [[http://www.openssl.org|OpenSSL]] ab **Version 0.9.7**, erlaubt TLS Servern mit dem jeweiligen Client dynamisch das Verschlüsselungsverfahren auszuhandeln. Dies ist erst ab **SSLv3** und später möglich.
+<code ini>
+tls_preempt_cipherlist = yes
+</code>
+//* Die Einstellung wird im [[http://www.postfix.org/|Postfix]] **Version 2.6.6** ignoriert!//
+Die Einstellungen erhöhen das **Loglevel** und dokumentieren unter anderem im Log von [[http://www.postfix.org/|Postfix]], welche Verschlüsselung verwendet wurde.
+<code ini>
+smtpd_tls_loglevel = 1
+smtp_tls_loglevel = 1
+</code>
+===== Postfix restart/reload =====
+Falls vorstehende Änderungen (natürlich an die jeweiligen Bedürfnisse angepasst) durchgeführt wurden, sollte ein Neustart oder zumindest das Laden der neuen Konfiguration von [[http://www.postfix.org|Postfix]] mit nachfolgendem Befehl durchgeführt werden:
+<code>
+# service postfix restart
+Shutting down postfix:                                     [  OK  ]
+Starting postfix:                                          [  OK  ]
+</code>
+**oder** zumindest
+<code>
+# service postfix reload
+Reloading postfix:                                         [  OK  ]
+</code>
+===== Überprüfung =====
+Anschließend kann im Log von [[http://www.postfix.org/|Postfix]] nachvollzogen werden, welche Verschlüsselung verwendet wurde.
+Dazu kann nach den
+  * **''DHE''** oder
+  * **''ECDHE''**
+gesucht werden, was mit nachfolgendem Befehl durchgeführt werden kann:
+<code>
+# grep DHE /var/log/maillog
+...
+Dec 19 10:59:21 rechner60 postfix/smtpd[22868]: Anonymous TLS connection established from
+rechner90.tachtler.net[192.168.0.90]: TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)
+...
 </code>