postfix als Mailgateway mit TLS

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von sascha735, 27. Jan. 2016.

  1. sascha735

    sascha735 New Member

    Hallo zusammen
    Ich habe einen der die Emails via eine Mailserver-appliance verschickt. Auf der Appliance wird auch Spam klassifiziert, nach Viren gesucht etc.
    Die Email laufen nach innen und aussen über diese Appliance....

    Die Kommunikation zwischen dem Mailgateway und dem anderen Zielmailserver will ich mit TLS verschlüsseln. Das Problem ist, dass die Appliance TLS nur anbieten kann. Ich will jedoch TLS erzwingen. Gem Hersteller und Entwicklung ist dies erst auf 2019 geplant.

    Daher meine Idee: ich setze einfach einen Postfix davor.
    Somit kommen die Email von extern auf den Postfix, dann zur Appliance und zum Schluss zum Exchange. Nach aussen gehen die Emils vom Exchange zur Appliance dann zum Postfix, dann weg.

    Auf dem Postfix möchte ich einstellen können, dass alle Email an die Domäne "Domäne.ch" nur via TLS übermittelt werden dürfen. Wenn die TLS Verbindung nicht hergestellt werden kann darf das Email nicht gesendet werden.


    Meine Frage nun, wie muss ich den Postfix konfigurieren. Oder kann mir jemand eventuell helfen?

    Jedenfalls schon an dieser Stelle vielen Dank!

    freundliche grüsse
    Sascha
     
  2. florian030

    florian030 Member

  3. epek

    epek New Member

    Der oben gepostete Link (sys4.de) lässt sich bei mir gerade nicht öffnen.
    Ich versuche in meiner Frage auf gleich das Folgeszenario abzudecken: Postfix kümmert sich aus- und eingehend um ideale Verschlüsselung.

    1.) Zum späteren Debuggen einer SSL-Konfiguration kann das Folgende später nützlich sein: https://de.ssl-tools.net/mailservers

    2.) Anbei ein paar Postfix-Schnipsel, die eine höhere Verschlüsselung ermöglichen helfen - exemplarisch - auf jeden Fall bitte die Postfix-Doku zu lesen! Gegebenfalls die smtp_-Variante davon googlen.
    smtpd_tls_ciphers = high
    smtpd_tls_dh1024_param_file = ${config_directory}/dh2048.pem
    smtpd_tls_dh512_param_file = ${config_directory}/dh512.pem
    smtpd_tls_eecdh_grade = ultra
    smtpd_tls_mandatory_ciphers = high
    smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
    smtpd_tls_protocols=!SSLv2,!SSLv3
    smtpd_use_tls = yes
    smtpd_tls_received_header = yes
    smtpd_tls_security_level = may
    smtp_tls_note_starttls_offer = yes
    smtp_tls_security_level = may

    tls_eecdh_strong_curve = prime256v1
    tls_eecdh_ultra_curve = secp384r1
    tls_high_cipherlist=EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
    tls_random_source = dev:/dev/urandom
    tls_ssl_options = NO_COMPRESSION

    3.) Ungestest eingehend- Quelle http://serverfault.com/questions/38...on-incoming-email-only-from-certain-domains-o
    smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/enforced_tls
    /etc/postfix/enforced_tls:
    @example.org reject_plaintext_session
    @example.net reject_plaintext_session
    postmap /etc/postfix/enforced_tls

    4.) Postfix-Manual ausgehend:
    smtp_tls_policy_maps
    Die folgenden Code-Schnipsel stammen von http://www.postfix.org/postconf.5.html#smtp_tls_policy_maps:
    smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
    # Postfix 2.5 and later
    smtp_tls_fingerprint_digest = md5

    /etc/postfix/tls_policy:
    example.edu none
    example.mil may
    example.gov encrypt protocols=TLSv1
    example.com verify ciphers=high
    example.net secure
    .example.net secure match=.example.net:example.net
    [mail.example.org]:587 secure match=nexthop
    # Postfix 2.5 and later
    [thumb.example.org] fingerprint
    match=EC:3B:2D:B0:5B:B1:FB:6D:20:A3:9D:72:F6:8D:12:35
    match=3D:95:34:51:24:66:33:B9:D2:40:99:C0:C1:17:0B:D1


    Ich denke, damit lässt sich was machen! Viel Erfolg!
     
    Zuletzt bearbeitet: 16. Feb. 2016

Diese Seite empfehlen