Verschlüsselter Mail Versand mit Postfix
Standardmäßig versendet Postfix Mails unverschlüsselt zu einem anderen Mailserver. Diese Einstellung macht es möglich eine Server to Server Verschlüsselung einzurichten!
In der /var/log/mail.log muss man dann auf folgenden Eintrag achten:
Trusted TLS connection established to mail.server.de[IP]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
1. Man öffnet dazu die main.cf
nano /etc/postfix/main.cf
2. Folgendes an beliebiger Stelle einfügen
##### TLS Ausgang #####
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_security_level=may
smtp_tls_exclude_ciphers = aNULL,MD5,DES,DES+MD5,AES256-SHA,DES-CBC3-MD5,kEDH+aRSA,RC4
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_bind_address6=
smtp_tls_loglevel = 1
Doppelte Einträge die sich auf smtp_… beziehen, können gelöscht werden.
Besser ist man macht stets ein backup der Ursprungsdatei.
Bei mehreren IPv6 Adressen sollte man eine unter “smtp_bind_address6=” eintragen. Dies verhindert das der Mailserver willkürlich mit irgendeiner IP versendet.
Wenn man es nicht braucht, dann eine “#” davor.
Dasselbe gilt auch für IPv4, jedoch besitzt man davon meist nur eine pro Server.
Jetzt versucht der Server zuerst immer Mails über TLS zuzustellen (smtp_tls_security_level=may)! Sollte der Versuch ohne Erfolg sein, stellt er die Mails normal zu.
Die meisten Provider unterstützen es jedoch schon. smtp_tls_security_level=encrypt würde TLS erzwingen, ist aber noch nicht zu empfehlen!
Man kann auch eine Testmail an check@ssl-tools.net verschicken. Danach schaut man unter SSL Tools nach ob die Zustellung erfolgreich war.