smtpd_tls - Optionen
sebastian at debianfan.de
sebastian at debianfan.de
Di Jan 25 09:40:07 CET 2022
Die Sache mit dem "Spammer fernhalten" war nur so eine Nebenidee, aber
die Hauptfrage ist, ob man damit wirklich jemanden ausschliesst, wenn
man nur noch 'encrypt' anbietet ?
Ich habe noch Logfiles der letzten 2 Jahre liegen - kann ich da
irgendwie auswerten, wer versucht hat, sich ohne Verschlüsselung zu
verbinden?
Am 25.01.2022 um 09:29 schrieb Klaus Tachtler:
>
> Hallo Sebastian,
>
> wenn ich ein Spammer wäre, was ich nicht bin, obwohl mein Vorname auch
> "Klaus" ist, wäre es doch auch ein leichtes, mir ein Let's Encrypt
> Zertifikat zu besorgen, wenn ich schon einen eigenen Mail-Server als
> Spammer unterhalte.
>
> Falls ich aber ein Mailkonto eines großen Providers gehackt habe, kann
> der große Provider bestimmt auch "encrypt"?
>
>
> Grüße
> Klaus.
>
> ----- Nachricht von sebastian at debianfan.de ---------
> Datum: Tue, 25 Jan 2022 09:15:20 +0100
> Von: sebastian at debianfan.de
> Antwort an: Diskussionen und Support rund um Postfix
> <postfixbuch-users at listen.jpberlin.de>
> Betreff: smtpd_tls - Optionen
> An: Diskussionen und Support rund um Postfix
> <postfixbuch-users at listen.jpberlin.de>
>
>
>> Guten Morgen,
>>
>> so wie ich das verstanden habe, beeinflussen die Parameter:
>>
>> smtpd_tls_CAfile =
>> smtpd_tls_CApath =
>> smtpd_tls_always_issue_session_ids = yes
>> smtpd_tls_ask_ccert = no
>> smtpd_tls_auth_only = no
>> smtpd_tls_ccert_verifydepth = 9
>> smtpd_tls_cert_file =
>> /etc/letsencrypt/live/mail.meinserver.de/fullchain.pem
>> smtpd_tls_chain_files =
>> smtpd_tls_ciphers = high
>> smtpd_tls_dcert_file =
>> smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem
>> smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem
>> smtpd_tls_dkey_file = $smtpd_tls_dcert_file
>> smtpd_tls_eccert_file =
>> smtpd_tls_eckey_file = $smtpd_tls_eccert_file
>> smtpd_tls_eecdh_grade = auto
>> smtpd_tls_exclude_ciphers =
>> smtpd_tls_fingerprint_digest = md5
>> smtpd_tls_key_file = /etc/letsencrypt/live/mail.meinserver.de/privkey.pem
>> smtpd_tls_loglevel = 0
>> smtpd_tls_mandatory_ciphers = high
>> smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5
>> smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
>> smtpd_tls_protocols = !SSLv2, !SSLv3
>> smtpd_tls_received_header = no
>> smtpd_tls_req_ccert = no
>> smtpd_tls_security_level = may
>> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
>> smtpd_tls_session_cache_timeout = 3600s
>> smtpd_tls_wrappermode = no
>>
>>
>> die Möglichkeiten von externen Mailservern, bei der Maschine hier
>> Mails abzugeben.
>>
>> Im aktuellen Fall heisst das ja "Verschlüsselte Verbindungen sind ok,
>> aber wenns nicht geht, dann kannst Du auch ohne Verschlüsselung senden".
>>
>> Wäre es nicht sinnvoller, auf "encrypt" anstatt auf "may" zu gehen -
>> oder gibt es noch 'größere relevante Versender', welche immer noch
>> unverschlüsselt senden ?
>>
>> Könnte man damit vielleicht auch Spam eindämmen ?
>>
>> gruß
>>
>> Sebastian
>
>
> ----- Ende der Nachricht von sebastian at debianfan.de -----
>
>
>
Mehr Informationen über die Mailingliste Postfixbuch-users