Datenhaufen zu IT und Elektronik.

TLS 1.3 für Postfix und Dovecot: So richtest du es ein

Sowohl mein Postfix als auch der Dovecot sprechen nun sauber TLS 1.3.

Wenn Postfix sowie Dovecot sauber gegen OpenSSL 1.1.1 gebaut sind fehlen nur zwei Configänderungen.

Dovecot spricht es meist sofort wenn man hier die minimale TLS Version ind der 10-ssl.conf:

ssl_min_protocol = TLSv1.1

Beim Postfix setzt man einfach die zu nutzenden TLS Versionen in der main.cf:

smtpd_tls_protocols = TLSv1.3, TLSv1.2, !TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtp_tls_protocols = TLSv1.3, TLSv1.2, !TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = TLSv1.3, TLSv1.2, !TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = TLSv1.3, TLSv1.2, !TLSv1.1, !TLSv1, !SSLv2, !SSLv3

Schon spricht Postfix TLS 1.3 mit anderen Server und beide Dienste sind in der Lage dieses mit Clients zu sprechen!

Test für smtp:

$ openssl s_client -starttls smtp -crlf -connect smtp.kernel-error.de:25
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 3944 bytes and written 404 bytes
Verification: OK
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 4096 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---

Test für imap:

$ openssl s_client -connect imap.kernel-error.de:993 -crlf
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 3944 bytes and written 404 bytes
Verification: OK
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 4096 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---

So sieht ein Logfile doch schon viel mehr nach 2019 aus, oder?

Feb 15 16:05:43 smtp postfix/smtp[7475]: Verified TLS connection established to mx1.freebsd.org[2610:1c1:1:606c::19:1]:25: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256

Bei Fragen, einfach fragen 🙂

3 Kommentare

  1. Andre

    Da fehlt ein Komma nach TLSv1.3

  2. Tamer Higazi

    Hi,
    Super Artikel.

    Aber bei dovecot würde ich die TLS Version von 1.1 auf 1.2 anheben.
    Habe es gemacht, läuft mit allen Clients auch flüssig.

    Getestet mit Android: FairEmail
    Desktop PC: Gnome Evolution und MozillaThunderbird

    Bei dovecot:

    ssl_min_protocol = TLSv1.2
    ssl_dh_parameters_length = 4096
    ssl = required

    und natürlich 4096 bit dh keys generieren.

    Gruss, Tamer

    Mein kleines crontab DH Skript:

    #!/bin/bash
    openssl dhparam -out /etc/ssl/dh512_param_new.pem 512;
    openssl dhparam -out /etc/ssl/dh2048_param_new.pem 4096;
    rm /etc/ssl/dh512_param.pem
    rm /etc/ssl/dh2048_param.pem
    mv /etc/ssl/dh512_param_new.pem /etc/ssl/dh512_param.pem
    mv /etc/ssl/dh2048_param_new.pem /etc/ssl/dh2048_param.pem
    /usr/sbin/postfix reload
    /usr/sbin/dovecot reload

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 -=Kernel-Error=-

Theme von Anders NorénHoch ↑