AW: Letsencrypt für Postfix verwenden?
Daniel
daniel at ist-immer-online.de
Mi Sep 7 21:15:03 CEST 2016
Hi Christian,
Klingt komisch, denke liegt aber eher weniger am Cert selbst.
Wenn meinst dass es daran liegt, erstell die kostenlos eins http://buy.wosign.com/free/?lan=en, denke 3 Jahre Laufzeit sollten für nen Test reichen ;-)
Weiß nicht wie deine Konfig aussieht dazu, daher mal alte Email von mir zitiert:
-----Ursprüngliche Nachricht-----
Gesendet: Sonntag, 12. Juni 2016 16:44
An: 'Diskussionen und Support rund um Postfix'
Betreff: AW: verschlüsselter Austausch Server <-> Server
Hi,
die ciperlist kannst weglassen, wenn doch setzen möchtest kannst nehmen:
tls_high_cipherlist = EECDH+AESGCM:AES+EECDH:+ECDHE-RSA-AES256-SHA:+ECDHE-RSA-AES128-SHA:RSA+AESGCM:RSA+AES:RSA+CAMELLIA:+AES256-SHA:+AES128-SHA:!EXPORT:!eNULL:!aNULL:!DES:!3DES:!RC4:!RC2:!MD5:!IDEA:!SEED:!EDH:!aECDH:!aECDSA:!kECDHe:!SRP:!PSK
Versehe deine dh1024 besser mit stärkerer Datei z.B. dh4096.pem
Probiere sonst mal mit z.B., mit solchen Werte fahre ich soweit ganz gut, Testseiten zeigen keine Schwachstellen bei SSL und co nach aktuellem Stand.
smtp_dns_support_level = dnssec
smtp_host_lookup = dns
smtp_tls_ciphers = high
smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtp_tls_fingerprint_digest = SHA256
smtp_tls_mandatory_ciphers= high
smtp_tls_mandatory_protocols = !SSLv2,!SSLv3
smtp_tls_note_starttls_offer = yes
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_security_level = dane
smtpd_tls_ciphers = high
smtpd_tls_dh1024_param_file = /pfad/dh4096.pem
smtpd_tls_eecdh_grade = strong
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_fingerprint_digest = SHA256
smtpd_tls_mandatory_ciphers= high
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtpd_tls_security_level = may
tls_daemon_random_bytes = 64
tls_preempt_cipherlist = yes
tls_random_bytes = 64
tls_ssl_options = no_ticket, no_compression
Gruß Daniel
-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Christian Leicht
Gesendet: Mittwoch, 7. September 2016 20:33
An: Diskussionen und Support rund um Postfix
Betreff: Re: Letsencrypt für Postfix verwenden?
Ich habe damit das Problem das eingehende Mailverbindungen sehr langsam
sind. 20 MB von Gmail zu meinem Server dauern 50 Minuten und brechen
auch schon mal ab. Die Limits hab ich raufgeschraubt. Aber es liegt
irgendwie an SSL/TLS und oder Cipher.
Ich weis nicht genug darüber Bescheid damit ich das eingrenzen könnte.
Normale Email sind kein Problem. Amamisd-new hab ich schon abgehängt,
aber daran liegt es nicht. SSL wenn ich ganz raus nehme dauern 20MB
eingehendes Email 20 Sekunden incl. Amavisd mit ClamAV.
Woran kann das liegen?
Besten Dank für Tipps
Christian
Am 07.09.2016 um 17:51 schrieb Jens Adam:
>
>> Am 07.09.2016 um 16:55 schrieb Christian Leicht <usenet at schani.com>:
>>
>> Hallo, ist es möglich die mittels Letscrypt erstellten Certs auch für den Postfix TLS zu verwenden?
>>
>> Besten Dank für Infos
>>
>> Christian
>
> Natürlich.
>
> Ich verwende auch ein Zertifikat für alles - Postfix, Nginx, Dovecot, Prosody...
>
> --byte
>
Mehr Informationen über die Mailingliste Postfixbuch-users