{"id":18969,"date":"2026-04-12T15:05:59","date_gmt":"2026-04-12T13:05:59","guid":{"rendered":"https:\/\/webhosting.de\/blog-mailserver-tls-konfiguration-cipher-auswahl-optimierung-server\/"},"modified":"2026-04-12T15:05:59","modified_gmt":"2026-04-12T13:05:59","slug":"blog-mailserver-tls-konfiguration-cipher-valg-optimeringsserver","status":"publish","type":"post","link":"https:\/\/webhosting.de\/da\/blog-mailserver-tls-konfiguration-cipher-auswahl-optimierung-server\/","title":{"rendered":"Konfiguration af TLS p\u00e5 mailserver og valg af cipher: Ultimativ guide"},"content":{"rendered":"<p>Jeg viser dig, hvordan du <strong>Mailserver TLS<\/strong> i Postfix og v\u00e6lge st\u00e6rke cipher suites, s\u00e5 SMTP-forbindelser er konsekvent beskyttet. Baseret p\u00e5 afpr\u00f8vede og testede parametre for TLS 1.2\/1.3, DANE, MTA-STS og moderne n\u00f8glepar, vil jeg guide dig trin for trin gennem konfiguration, test og indstilling, s\u00e5 din <strong>Mail-sikkerhed<\/strong> griber rent.<\/p>\n\n<h2>Centrale punkter<\/h2>\n\n<ul>\n  <li><strong>Postfix<\/strong> Konfigurer sikkert: Aktiver TLS, begr\u00e6ns protokoller, indstil logning.<\/li>\n  <li><strong>Chiffre<\/strong> prioritere: ECDHE + GCM\/CHACHA20, h\u00e5ndh\u00e6velse af PFS, blokering af \u00e6ldre data.<\/li>\n  <li><strong>Certifikater<\/strong> Hold dig ren: RSA+ECDSA, komplet k\u00e6de, st\u00e6rke kurver.<\/li>\n  <li><strong>DANE\/MTA-STS<\/strong> udnytte: Forankring af retningslinjer og reduktion af nedgraderingsrisici.<\/li>\n  <li><strong>Test<\/strong> og overv\u00e5gning: Tjek OpenSSL, TLS-scanner, MTA-logfiler regelm\u00e6ssigt.<\/li>\n<\/ul>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver-konfiguration-4721.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>SMTP via TLS: Hvad er egentlig sikret?<\/h2>\n\n<p>Jeg sikrer SMTP med <strong>STARTTLS<\/strong>, s\u00e5 e-mailtransporten ikke foreg\u00e5r i ren tekst. Opportunistisk TLS via <strong>smtpd_tls_security_level = may<\/strong> sikrer, at indg\u00e5ende forbindelser bruger kryptering, s\u00e5 snart fjernstationen tilbyder det. Til udg\u00e5ende leverancer bruger jeg <strong>smtp_tls_security_level = dane<\/strong> DNSSEC-underst\u00f8ttede politiktjek for at g\u00f8re nedgraderingsangreb sv\u00e6rere. Uden TLS kan e-mails l\u00e6ses og manipuleres undervejs, hvilket er s\u00e6rligt farligt for formularer, ordrer eller kontodata. Med TLS aktiv hele vejen igennem reducerer jeg risikoen for aflytning og MITM betydeligt, og jeg opn\u00e5r bedre leveringshastigheder, fordi store udbydere vurderer sikre forbindelser positivt.<\/p>\n\n<h2>N\u00f8gler, certifikater og protokoller i Postfix<\/h2>\n\n<p>Jeg har to certifikater klar: et <strong>RSA<\/strong>-certifikat og et ECDSA-certifikat, s\u00e5 gamle og nye MTA'er er optimalt forbundet. Jeg indstiller stierne i Postfix tydeligt, for eksempel <strong>smtpd_tls_cert_file<\/strong> for RSA og <strong>smtpd_tls_eccert_file<\/strong> til ECDSA, hver med en matchende n\u00f8gle. Til ren autentificering er jeg opm\u00e6rksom p\u00e5 den komplette k\u00e6de, en CN\/SAN, der matcher v\u00e6rten n\u00f8jagtigt, og en kurve som <strong>secp384r1<\/strong> til ECDSA-n\u00f8glen. Jeg deaktiverer strengt taget \u00e6ldre protokoller, dvs. SSLv2 og SSLv3, for at forhindre tvungne nedgraderinger. Hvis du overvejer typen af certifikat, kan et hurtigt kig p\u00e5 <a href=\"https:\/\/webhosting.de\/da\/tls-certifikater-dv-ov-ev-hosting-sikkerhedssammenligning\/\">DV, OV eller EV<\/a>, s\u00e5 du v\u00e6lger det rigtige niveau af tillid.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/tls_configuration_guide_4928.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Valg af chiffer: Prioriteter for TLS 1.2\/1.3<\/h2>\n\n<p>Jeg prioriterer cipher-suiter med <strong>PFS<\/strong>, dvs. ECDHE f\u00f8r DHE, og brug GCM eller CHACHA20-POLY1305. Under TLS 1.3 fritager stakken dig for mange gamle problemer, mens TLS 1.2 stadig kr\u00e6ver en klar liste. Usikre eller svage suiter som f.eks. <strong>RC4<\/strong>, Jeg sletter 3DES, CAMELLIA, aNULL, eNULL. Til Postfix bruger jeg <strong>smtpd_tls_ciphers = h\u00f8j<\/strong> og en restriktiv <em>tls_high_cipherlist<\/em>, s\u00e5 ingen for\u00e6ldede algoritmer slipper igennem. Hvis du g\u00e5r dybere, er <a href=\"https:\/\/webhosting.de\/da\/tls-cipher-suites-hosting-sikkerhed-serverboost\/\">Cipher Suites-guide<\/a> en letforst\u00e5elig kategorisering uden ballast.<\/p>\n\n<table>\n  <thead>\n    <tr>\n      <th>TLS-version<\/th>\n      <th>Favorit cipher suites<\/th>\n      <th>Status<\/th>\n      <th>Hint<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr>\n      <td><strong>TLS 1.3<\/strong><\/td>\n      <td>TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256<\/td>\n      <td>aktiv<\/td>\n      <td>Udv\u00e6lgelsen er fast forankret i protokollen, ikke flere gamle problemer.<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>TLS 1.2<\/strong><\/td>\n      <td>ECDHE-ECDSA-AES256-GCM-SHA384, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-CHACHA20-POLY1305<\/td>\n      <td>aktiv<\/td>\n      <td>Prioriterer PFS, foretr\u00e6kker GCM\/CHACHA.<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>For\u00e6ldet<\/strong><\/td>\n      <td>RC4, 3DES, CAMELLIA, AES128-SHA, aNULL\/eNULL<\/td>\n      <td>l\u00e5st<\/td>\n      <td>Deaktiver helt af sikkerhedsm\u00e6ssige \u00e5rsager.<\/td>\n    <\/tr>\n  <\/tbody>\n<\/table>\n\n<h2>Postfix: konkrete parametre til main.cf<\/h2>\n\n<p>Jeg indstiller en klar konfiguration, s\u00e5 MTA'en taler sikkert b\u00e5de indg\u00e5ende og udg\u00e5ende. Til ephemeral ECDH bruger jeg <strong>smtpd_tls_eecdh_grade<\/strong> Jeg indstiller kurvekvaliteten og deaktiverer komprimering for at undg\u00e5 CRIME-lignende angreb. En st\u00e6rk DH-fil med 4096 bits forhindrer svage DHE-forhandlinger. Jeg l\u00e6gger h\u00e5rde begr\u00e6nsninger p\u00e5 protokoller og h\u00e5ndh\u00e6ver h\u00f8j cipher-kvalitet og foretr\u00e6kker TLS 1.3. I starten hj\u00e6lper et moderat logniveau mig med at tjekke h\u00e5ndtryk uden at oversv\u00f8mme journalen.<\/p>\n\n<pre><code>#-aktivering og -politik\nsmtpd_tls_security_level = may\nsmtp_tls_security_level = dane\n\n#-certifikater (eksempler p\u00e5 stier)\nsmtpd_tls_cert_file = \/etc\/ssl\/certs\/mail.example.de.cer\nsmtpd_tls_key_file = \/etc\/ssl\/private\/mail.example.de.key\nsmtpd_tls_eccert_file = \/etc\/ssl\/certs\/mail.example.de_ecc.cer\nsmtpd_tls_eckey_file = \/etc\/ssl\/private\/mail.example.de_ecc.key\n\n#-protokoller og cifre\nsmtpd_tls_protocols = !SSLv2, !SSLv3\nsmtpd_tls_mandatory_protocols = !SSLv2, !SSLv3\nsmtpd_tls_ciphers = h\u00f8j\ntls_high_cipherlist = !aNULL:!eNULL:!RC4:!3DES:!CAMELLIA:HIGH:@STRENGTH\ntls_ssl_options = NO_COMPRESSION\nsmtpd_tls_eecdh_grade = ultra\n\n# DH-parametre\nsmtpd_tls_dh1024_param_file = \/etc\/postfix\/dh_4096.pem\n\n# DNSSEC\/DANE (hvis tilg\u00e6ngelig)\nsmtp_dns_support_level = dnssec\n\n# Logning\nsmtpd_tls_loglevel = 1\n<\/code><\/pre>\n\n<p>Jeg holder certifikatk\u00e6den komplet, er opm\u00e6rksom p\u00e5 korrekte rettigheder for <strong>privat<\/strong> n\u00f8glefiler og tjekker logfilerne efter genindl\u00e6sningen. Hvis TLS 1.2 er p\u00e5kr\u00e6vet for \u00e6ldre partnere, holder jeg mig strengt til GCM\/CHACHA og blokerer alt andet. For TLS 1.3 stoler jeg p\u00e5 stakkens standarder og undg\u00e5r s\u00e6rlige stier, der g\u00f8r vedligeholdelse vanskeligere. OCSP-h\u00e6ftning spiller kun en rolle med SMTP, hvis en upstream-proxy leverer det, s\u00e5 jeg tjekker det kun for tilsvarende ops\u00e6tninger. Efter hver \u00e6ndring validerer jeg med OpenSSL for at genkende bivirkninger tidligt og for at sikre, at <strong>Kryptering af e-mail<\/strong> konsekvent.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver-tls-guide-cipher-tips-6954.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Transportautenticitet med DANE, MTA-STS, SPF, DKIM og DMARC<\/h2>\n\n<p>Jeg kombinerer TLS med <strong>DANE<\/strong>, ved at udgive signerede TLSA-poster under DNSSEC. Derudover indstiller jeg MTA-STS, s\u00e5 eksterne peers ved, at min v\u00e6rt kr\u00e6ver TLS, og hvilken MX de skal overholde. Til identitetsbinding signerer jeg udg\u00e5ende mails med <strong>DKIM<\/strong> og sikker dom\u00e6nelevering via SPF-regler. Endelig definerer DMARC, hvordan modtagere skal h\u00e5ndtere afvigelser, hvilket g\u00f8r spoofing meget sv\u00e6rere. Disse komponenter arbejder sammen: TLS beskytter transporten, mens autentificering styrker afsenderen og \u00f8ger leveringshastigheden m\u00e6rkbart.<\/p>\n\n<p>Hvis ydeevnen er en flaskehals, optimerer jeg genoptagelse af sessioner, hardwarefunktioner og selve h\u00e5ndtrykket. Du kan komme i gang med praktiske tricks med <a href=\"https:\/\/webhosting.de\/da\/optimer-tls-handtryksydelse-quicboost\/\">TLS-h\u00e5ndtryk hurtigere<\/a>, for at reducere ventetiden ved etablering af en forbindelse. Vigtigt: Jeg holder valg af kryptering og genoptagelse i balance, fordi svage kompromiser ikke betaler sig med hensyn til sikkerhed. Hurtig TLS-forhandling giver betydelige besparelser, is\u00e6r med store postm\u00e6ngder. P\u00e5 denne m\u00e5de <strong>Gennemstr\u00f8mning<\/strong> og sikkerhed i balance.<\/p>\n\n<h2>Test, overv\u00e5gning og revision<\/h2>\n\n<p>Jeg tjekker h\u00e5ndtryk lokalt med <strong>openssl<\/strong> og tjekke protokolversion, cipher og certifikatk\u00e6de. Kommandoen <em>openssl s_client -connect mail.example.de:25 -starttls smtp<\/em> viser mig live, hvad fjernserveren forhandler om. Efter konfigurations\u00e6ndringer bruger jeg <em>postfix-kontrol<\/em> og se specifikt p\u00e5 <strong>smtpd_tls_loglevel<\/strong>, til at isolere fejlm\u00f8nstre. Eksterne TLS-scannere hj\u00e6lper med at kategorisere offentlig synlighed, is\u00e6r efter certifikat\u00e6ndringer. En regelm\u00e6ssig revisionscyklus beskytter mod snigende forringelser, f.eks. hvis en biblioteks\u00e6ndring p\u00e5virker krypteringsprioriteterne.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver_tls_guide_nacht_4523.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Hyppige fejlkonfigurationer og hurtige l\u00f8sninger<\/h2>\n\n<p>Jeg ser ofte for\u00e6ldede koder som <strong>AES128-SHA<\/strong>, som stadig er aktive og forhindrer PFS. En streng krypteringsstreng og den klare blokering af LOW\/MD5\/RC4\/3DES hj\u00e6lper her. Andet m\u00f8nster: manglende mellemliggende certifikater, som forhindrer fjernstationer i at verificere k\u00e6den; jeg tilf\u00f8jer bundtfilen og tester igen. P\u00e5 apparater som en Synology indstiller jeg TLS-profilen til moderne og fjerner \u00e6ldre indstillinger, s\u00e5 SMTP-serveren taler moderne. Med Microsoft Exchange kontrollerer jeg specifikt TLS 1.2\/1.3-politikker, certifikattildeling pr. connector og eventuelle cipher-overrides i v\u00e6rtskonfigurationen, s\u00e5 <strong>H\u00e5ndtryk<\/strong>-udv\u00e6lgelsen er rigtig.<\/p>\n\n<h2>Forh\u00e5ndsvisning: TLS 1.3, 0-RTT og Post-Quantum<\/h2>\n\n<p>Jeg foretr\u00e6kker TLS 1.3, fordi h\u00e5ndtrykket er kortere, og gamle indstillinger er udeladt, hvilket reducerer angrebsfladerne. Valget af <strong>chiffer<\/strong> er klart begr\u00e6nset der, og moderne stakke giver gode standardindstillinger. Jeg bruger ikke 0-RTT i SMTP-sammenh\u00e6ng, da replay-angreb medf\u00f8rer un\u00f8dvendige risici her. I fremtiden holder jeg \u00f8je med hybride post-kvante-procedurer, som kan finde vej ind i mailmilj\u00f8et, s\u00e5 snart standardisering og support er modnet. Det er fortsat vigtigt, at jeg ops\u00e6tter politikker og overv\u00e5gning p\u00e5 en s\u00e5dan m\u00e5de, at nye procedurer kan integreres senere uden forstyrrelser.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver_tls_guide_7492.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Overblik over ydeevne og leveringshastighed<\/h2>\n\n<p>Jeg m\u00e5ler p\u00e5 <strong>Forsinkelse<\/strong> af TLS-h\u00e5ndtrykket og optimerer cachen, s\u00e5 den kan genbruges. Genoptagelse af sessioner (billetter\/ID'er) reducerer computerbelastningen og fremskynder tilbagevendende forbindelser mellem MTA'er. Ved tilbagekaldelse af certifikater bruger jeg stabelbare oplysninger p\u00e5 upstream-proxyen, hvis de er tilg\u00e6ngelige, for at spare yderligere adgang. Store modtagere vurderer sikker transport positivt, hvilket \u00f8ger leveringshastigheden, mens usikre stier \u00f8ger risikoen for spam og afvisning. Med en klar TLS-politik, solide DNS-poster og en ren signaturk\u00e6de skaber jeg et p\u00e5lideligt grundlag for <strong>Leveringsevne<\/strong>.<\/p>\n\n<h2>Min ops\u00e6tningsplan<\/h2>\n\n<p>Jeg starter med at f\u00e5 certifikatet fra en trov\u00e6rdig CA, genererer ECDSA og RSA og gemmer begge dele p\u00e5 v\u00e6rten. Derefter tilpasser jeg <strong>main.cf<\/strong> med TLS-parametrene, indstil st\u00e6rke cifre og deaktiver gamle protokoller. En ny DH-fil med 4096 bits tilf\u00f8jes, efterfulgt af en genindl\u00e6sning og de f\u00f8rste OpenSSL-tjek. Derefter ops\u00e6tter jeg DANE, tilf\u00f8jer MTA-STS og kontrollerer SPF\/DKIM\/DMARC for gyldighed. Endelig k\u00f8rer jeg tests mod eksterne m\u00e5l, tjekker logfiler under drift og planl\u00e6gger regelm\u00e6ssige revisioner, s\u00e5 <strong>Konfiguration<\/strong> forbliver sikker p\u00e5 lang sigt.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/tls-einstellungen-leitfaden-8421.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Manglende moduler: Submission, SMTPS og SNI<\/h2>\n\n<p>Jeg sikrer ikke kun port 25, men ogs\u00e5 submission (587) og eventuelt SMTPS (465). Ved indsendelse h\u00e5ndh\u00e6ver jeg kryptering og godkendelse, s\u00e5 brugernes adgangskoder aldrig sendes i klartekst. I <em>master.cf<\/em> Jeg aktiverer tjenesterne og indstiller specifikke overstyringer:<\/p>\n\n<pre><code>#-indsendelse (port 587) med STARTTLS og auth-forpligtelse\nindsendelse inet n - y - - smtpd\n  -o syslog_name=postfix\/submission\n  -o smtpd_tls_security_level=encrypt\n  -o smtpd_tls_auth_only=yes\n  -o smtpd_sasl_auth_enable=yes\n  -o milter_macro_daemon_name=ORIGINATING\n\n# SMTPS (port 465) som wrapper-tilstand, hvis det er n\u00f8dvendigt\nsmtps inet n - y - - smtpd\n  -o syslog_name=postfix\/smtps\n  -o smtpd_tls_wrappermode=yes\n  -o smtpd_sasl_auth_enable=yes\n  -o milter_macro_daemon_name=ORIGINATING\n<\/code><\/pre>\n\n<p>Hvis jeg betjener flere mail-dom\u00e6ner p\u00e5 en host med mine egne certifikater, bruger jeg <strong>SNI<\/strong>. Jeg bruger et SNI-kort til at tildele den rette certifikatsti til hver m\u00e5lhost og sikre, at MUA-klienter ogs\u00e5 ser det korrekte certifikat. Det er s\u00e5dan, jeg sikrer klientseparation med ensartet TLS-identitet.<\/p>\n\n<h2>Politikker pr. dom\u00e6ne: finkornet kontrol<\/h2>\n\n<p>Ud over den globale politik administrerer jeg ogs\u00e5 <strong>smtp_tls_policy_maps<\/strong> Undtagelser og stramninger pr. modtagerdom\u00e6ne. Det giver mig mulighed for gradvist at migrere \u00e6ldre partnere eller h\u00e5ndh\u00e6ve s\u00e6rligt strenge krav til f\u00f8lsomme m\u00e5l.<\/p>\n\n<pre><code># main.cf\nsmtp_tls_policy_maps = hash:\/etc\/postfix\/tls_policy\n\n# \/etc\/postfix\/tls_policy (eksempler p\u00e5 poster)\nexample.org kun dansk\nlegacy.example.net may\nsecure.example.com sikker\n<\/code><\/pre>\n\n<p><em>Kun dansker<\/em> h\u00e5ndh\u00e6ver DANE-beskyttelse uden CA-afh\u00e6ngighed, <em>sikker<\/em> kr\u00e6ver en gyldig CA-k\u00e6de og afviser levering af ren tekst, <em>kan<\/em> forbliver opportunistisk. Efter \u00e6ndringer bygger jeg kortet med <em>postkort<\/em> og genindl\u00e6s Postfix.<\/p>\n\n<h2>DANE og MTA-STS: konkret implementering<\/h2>\n\n<p>For <strong>DANE<\/strong> Jeg udgiver TLSA-poster under DNSSEC. Jeg foretr\u00e6kker at bruge DANE-EE (3 1 1), fordi den tillader pinning til den offentlige n\u00f8gle og g\u00f8r det lettere at \u00e6ndre certifikater med den samme n\u00f8gle. Et eksempel p\u00e5 en TLSA-post under <em>_25._tcp.mail.example.de<\/em> ser s\u00e5dan her ud:<\/p>\n\n<pre><code>_25._tcp.mail.example.de. IN TLSA 3 1 1 .\n<\/code><\/pre>\n\n<p>Jeg genererer hashen fra ECDSA- eller RSA-certifikatet og s\u00f8rger for at rotere det, f\u00f8r det udl\u00f8ber. Det er vigtigt, at DNS-zonen er signeret, og at delegeringsk\u00e6den er valideret uden huller.<\/p>\n\n<p>For <strong>MTA-STS<\/strong> Jeg hoster politikfilen via HTTPS og tilf\u00f8jer TXT DNS-indgangen. P\u00e5 den m\u00e5de specificerer jeg, at eksterne peers taler TLS og kun accepteres med en defineret MX. En minimalistisk politikfil:<\/p>\n\n<pre><code>version: STSv1\ntilstand: h\u00e5ndh\u00e6ve\nmx: mail.example.de\nmax_age: 604800\n<\/code><\/pre>\n\n<p>Der tilf\u00f8jes en TXT-post i DNS under <em>_mta-sts.example.de<\/em> med den aktuelle version. Eventuelt ops\u00e6tter jeg <em>TLS-RPT<\/em> via TXT under <em>_smtp._tls.example.de<\/em> for at modtage rapporter om politikbrud. Denne telemetri hj\u00e6lper mig med at genkende fejl, nedgraderinger og defekte certifikater p\u00e5 et tidligt tidspunkt.<\/p>\n\n<h2>Stram protokoller, specificer kryptering<\/h2>\n\n<p>Jeg strammer protokolgr\u00e6nserne og h\u00e5ndh\u00e6ver serverpr\u00e6ference. TLS 1.0\/1.1 kan undv\u00e6res i dag; jeg tillader kun TLS 1.2 og 1.3 i dybden og p\u00e5 udg\u00e5ende basis. For TLS 1.2 definerer jeg en eksplicit positivliste for at udelukke blandede lagre af gamle cifre:<\/p>\n\n<pre><code># Yderligere h\u00e6rdning (main.cf)\nsmtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\n\n# Eksplicit TLS 1.2 cipher-liste (kun PFS + AEAD)\ntls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:!aNULL:!eNULL:!MD5:!RC4:!3DES:!CAMELLIA\n\n# Brug serverpr\u00e6ference\ntls_preempt_cipherlist = ja\n<\/code><\/pre>\n\n<p>Jeg s\u00f8rger for, at ECDHE er foretrukket, og at DHE kun er en n\u00f8dl\u00f8sning. Jeg holder min DH-fil opdateret; under TLS 1.3 spiller den ikke nogen rolle, men den er stadig nyttig til sj\u00e6ldne DHE-handlinger.<\/p>\n\n<h2>Genoptagelse af sessioner og cacher<\/h2>\n\n<p>For at fremskynde tingene aktiverer jeg sessionscacher for klienten og serveren for at g\u00f8re genforbindelserne mere fordelagtige. CPU-belastning og ventetid reduceres m\u00e6rkbart, is\u00e6r med h\u00f8j mailgennemstr\u00f8mning:<\/p>\n\n<pre><code>#-sessionscache (main.cf)\nsmtpd_tls_session_cache_database = btree:\/var\/lib\/postfix\/smtpd_scache\nsmtp_tls_session_cache_database = btree:\/var\/lib\/postfix\/smtp_scache\nsmtp_tls_connection_reuse = ja\n<\/code><\/pre>\n\n<p>Jeg overv\u00e5ger hitraten i logfilerne og s\u00f8rger for, at ingen af dem er for korte. <em>billet_levetid<\/em> i TLS-biblioteket for at g\u00f8re genoptagelsen langsommere. Vigtigt: Genoptagelse m\u00e5 ikke sv\u00e6kke politikken; jeg holder mig til de samme cipher-krav.<\/p>\n\n<h2>Certificeret virksomhed: Rotation og k\u00e6devedligeholdelse<\/h2>\n\n<p>Jeg automatiserer fornyelsen og genindl\u00e6sningen af MTA'en, s\u00e5 ingen udl\u00f8bne certifikater ender med at v\u00e6re i drift. Efter hver fornyelse kontrollerer jeg, om blad- og mellemcertifikaterne er helt i bundtet. Ved dobbelt ECDSA\/RSA-drift s\u00f8rger jeg for, at begge par roterer, f\u00f8r en masse\u00e6ndring skaber problemer for klienterne. Jeg tester SNI-stien og indsendelsen separat, fordi MUA'er kan vise andre fejlm\u00f8nstre end MTA'er.<\/p>\n\n<h2>Uddyb logning og diagnosticering<\/h2>\n\n<p>Jeg \u00f8ger midlertidigt logdybden, n\u00e5r der opst\u00e5r et problem, og bruger indbyggede v\u00e6rkt\u00f8jer til krydstjek:<\/p>\n\n<pre><code># m\u00e5lrettet logning (main.cf)\nsmtp_tls_loglevel = 1\nsmtp_tls_note_starttls_offer = ja\n<\/code><\/pre>\n\n<p>Med <em>posttls-finger target.example.com<\/em> Jeg tjekker, hvilken politik en ekstern MTA forventer, og hvilke cifre\/protokoller der forhandles om. Jeg bruger <em>postconf -n | grep tls<\/em>, for kun at se eksplicit indstillede TLS-parametre; jeg kan hurtigere finde afvigelser fra standardv\u00e6rdierne p\u00e5 denne m\u00e5de. I logfilerne s\u00f8ger jeg efter udtryk som <em>ingen delt kryptering<\/em>, <em>Certifikatverificering mislykkedes<\/em> eller <em>protokolversion<\/em>, der direkte indikerer cipher-mismatch, k\u00e6deproblemer eller protokolgr\u00e6nser, der er for strenge\/for slappe.<\/p>\n\n<h2>H\u00e5ndtering af kompatibilitet uden at g\u00e5 p\u00e5 kompromis med sikkerheden<\/h2>\n\n<p>Jeg planl\u00e6gger overgange bevidst: Jeg holder mig i dybden med <em>kan<\/em>, for at undg\u00e5 at miste mails fra \u00e6ldre servere over hele linjen, men logger leverancer i almindelig tekst. Udg\u00e5ende forbliver jeg streng (DANE\/MTA-STS\/secure) og bruger <em>smtp_tls_policy_maps<\/em> for individuelle tilf\u00e6lde. Hvis enkelte partnere kun kan h\u00e5ndtere TLS 1.2 med AES-GCM, er det acceptabelt; jeg h\u00e5ndterer alt under dette via aftalte undtagelser med en begr\u00e6nset k\u00f8retid, dokumenterer dem og inkluderer dem i migrationsplanl\u00e6gningen. Det holder det overordnede niveau h\u00f8jt uden at blokere for forretningsdriften.<\/p>\n\n<h2>Et overblik over systemets TLS-standardindstillinger<\/h2>\n\n<p>Bem\u00e6rk, at Postfix bruger systemets TLS-bibliotek. Opdateringer til OpenSSL\/LibreSSL kan \u00e6ndre cipher-prioriteter og TLS 1.3-adf\u00e6rd. Efter systemopdateringer tjekker jeg derfor tilf\u00e6ldigt handshakes og sammenligner output fra <em>postconf -n<\/em> med mine m\u00e5lv\u00e6rdier. Et s\u00e6t <em>kompatibilitet_niveau<\/em> i Postfix hj\u00e6lper med at opretholde stabile standardindstillinger, men jeg stoler ikke blindt p\u00e5 den og dokumenterer eksplicitte afvigelser i main.cf\/master.cf.<\/p>\n\n<h2>Kort oversigt for administratorer<\/h2>\n\n<p>Jeg vil gerne understrege, at st\u00e6rke cifre med PFS, rene certifikater og klare politikker er afg\u00f8rende for <strong>SMTP<\/strong> afg\u00f8rende. Med TLS 1.3 slipper du for gamle problemer, mens TLS 1.2 kr\u00e6ver en disciplineret cipher-liste. DANE og MTA-STS h\u00e6rder transportvejen, SPF\/DKIM\/DMARC sikrer identitet og rapportering. Regelm\u00e6ssige tests og loganalyser viser tidligt, om en \u00e6ndring har u\u00f8nskede bivirkninger. Med denne vejledning kan du s\u00e6tte din mailserver op til at v\u00e6re sikker, performant og fremtidssikret - uden un\u00f8dvendige <strong>Risici<\/strong>.<\/p>","protected":false},"excerpt":{"rendered":"<p>Mailserver TLS-konfiguration og valg af cipher: smtp tls-konfiguration for optimal mailsikkerhed og hosting af e-mailkryptering. Komplet ekspertguide.<\/p>","protected":false},"author":1,"featured_media":18962,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_crdt_document":"","inline_featured_image":false,"footnotes":""},"categories":[708],"tags":[],"class_list":["post-18969","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-email"],"acf":[],"_wp_attached_file":null,"_wp_attachment_metadata":null,"litespeed-optimize-size":null,"litespeed-optimize-set":null,"_elementor_source_image_hash":null,"_wp_attachment_image_alt":null,"stockpack_author_name":null,"stockpack_author_url":null,"stockpack_provider":null,"stockpack_image_url":null,"stockpack_license":null,"stockpack_license_url":null,"stockpack_modification":null,"color":null,"original_id":null,"original_url":null,"original_link":null,"unsplash_location":null,"unsplash_sponsor":null,"unsplash_exif":null,"unsplash_attachment_metadata":null,"_elementor_is_screenshot":null,"surfer_file_name":null,"surfer_file_original_url":null,"envato_tk_source_kit":null,"envato_tk_source_index":null,"envato_tk_manifest":null,"envato_tk_folder_name":null,"envato_tk_builder":null,"envato_elements_download_event":null,"_menu_item_type":null,"_menu_item_menu_item_parent":null,"_menu_item_object_id":null,"_menu_item_object":null,"_menu_item_target":null,"_menu_item_classes":null,"_menu_item_xfn":null,"_menu_item_url":null,"_trp_menu_languages":null,"rank_math_primary_category":null,"rank_math_title":null,"inline_featured_image":null,"_yoast_wpseo_primary_category":null,"rank_math_schema_blogposting":null,"rank_math_schema_videoobject":null,"_oembed_049c719bc4a9f89deaead66a7da9fddc":null,"_oembed_time_049c719bc4a9f89deaead66a7da9fddc":null,"_yoast_wpseo_focuskw":null,"_yoast_wpseo_linkdex":null,"_oembed_27e3473bf8bec795fbeb3a9d38489348":null,"_oembed_c3b0f6959478faf92a1f343d8f96b19e":null,"_trp_translated_slug_en_us":null,"_wp_desired_post_slug":null,"_yoast_wpseo_title":null,"tldname":null,"tldpreis":null,"tldrubrik":null,"tldpolicylink":null,"tldsize":null,"tldregistrierungsdauer":null,"tldtransfer":null,"tldwhoisprivacy":null,"tldregistrarchange":null,"tldregistrantchange":null,"tldwhoisupdate":null,"tldnameserverupdate":null,"tlddeletesofort":null,"tlddeleteexpire":null,"tldumlaute":null,"tldrestore":null,"tldsubcategory":null,"tldbildname":null,"tldbildurl":null,"tldclean":null,"tldcategory":null,"tldpolicy":null,"tldbesonderheiten":null,"tld_bedeutung":null,"_oembed_d167040d816d8f94c072940c8009f5f8":null,"_oembed_b0a0fa59ef14f8870da2c63f2027d064":null,"_oembed_4792fa4dfb2a8f09ab950a73b7f313ba":null,"_oembed_33ceb1fe54a8ab775d9410abf699878d":null,"_oembed_fd7014d14d919b45ec004937c0db9335":null,"_oembed_21a029d076783ec3e8042698c351bd7e":null,"_oembed_be5ea8a0c7b18e658f08cc571a909452":null,"_oembed_a9ca7a298b19f9b48ec5914e010294d2":null,"_oembed_f8db6b27d08a2bb1f920e7647808899a":null,"_oembed_168ebde5096e77d8a89326519af9e022":null,"_oembed_cdb76f1b345b42743edfe25481b6f98f":null,"_oembed_87b0613611ae54e86e8864265404b0a1":null,"_oembed_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_oembed_time_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_tldname":null,"_tldclean":null,"_tldpreis":null,"_tldcategory":null,"_tldsubcategory":null,"_tldpolicy":null,"_tldpolicylink":null,"_tldsize":null,"_tldregistrierungsdauer":null,"_tldtransfer":null,"_tldwhoisprivacy":null,"_tldregistrarchange":null,"_tldregistrantchange":null,"_tldwhoisupdate":null,"_tldnameserverupdate":null,"_tlddeletesofort":null,"_tlddeleteexpire":null,"_tldumlaute":null,"_tldrestore":null,"_tldbildname":null,"_tldbildurl":null,"_tld_bedeutung":null,"_tldbesonderheiten":null,"_oembed_ad96e4112edb9f8ffa35731d4098bc6b":null,"_oembed_8357e2b8a2575c74ed5978f262a10126":null,"_oembed_3d5fea5103dd0d22ec5d6a33eff7f863":null,"_eael_widget_elements":null,"_oembed_0d8a206f09633e3d62b95a15a4dd0487":null,"_oembed_time_0d8a206f09633e3d62b95a15a4dd0487":null,"_aioseo_description":null,"_eb_attr":null,"_eb_data_table":null,"_oembed_819a879e7da16dd629cfd15a97334c8a":null,"_oembed_time_819a879e7da16dd629cfd15a97334c8a":null,"_acf_changed":null,"_wpcode_auto_insert":null,"_edit_last":null,"_edit_lock":null,"_oembed_e7b913c6c84084ed9702cb4feb012ddd":null,"_oembed_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_time_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_03514b67990db061d7c4672de26dc514":null,"_oembed_time_03514b67990db061d7c4672de26dc514":null,"rank_math_news_sitemap_robots":null,"rank_math_robots":null,"_eael_post_view_count":"512","_trp_automatically_translated_slug_ru_ru":null,"_trp_automatically_translated_slug_et":null,"_trp_automatically_translated_slug_lv":null,"_trp_automatically_translated_slug_fr_fr":null,"_trp_automatically_translated_slug_en_us":null,"_wp_old_slug":null,"_trp_automatically_translated_slug_da_dk":null,"_trp_automatically_translated_slug_pl_pl":null,"_trp_automatically_translated_slug_es_es":null,"_trp_automatically_translated_slug_hu_hu":null,"_trp_automatically_translated_slug_fi":null,"_trp_automatically_translated_slug_ja":null,"_trp_automatically_translated_slug_lt_lt":null,"_elementor_edit_mode":null,"_elementor_template_type":null,"_elementor_version":null,"_elementor_pro_version":null,"_wp_page_template":null,"_elementor_page_settings":null,"_elementor_data":null,"_elementor_css":null,"_elementor_conditions":null,"_happyaddons_elements_cache":null,"_oembed_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_time_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_time_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_59808117857ddf57e478a31d79f76e4d":null,"_oembed_time_59808117857ddf57e478a31d79f76e4d":null,"_oembed_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_time_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_81002f7ee3604f645db4ebcfd1912acf":null,"_oembed_time_81002f7ee3604f645db4ebcfd1912acf":null,"_elementor_screenshot":null,"_oembed_7ea3429961cf98fa85da9747683af827":null,"_oembed_time_7ea3429961cf98fa85da9747683af827":null,"_elementor_controls_usage":null,"_elementor_page_assets":[],"_elementor_screenshot_failed":null,"theplus_transient_widgets":null,"_eael_custom_js":null,"_wp_old_date":null,"_trp_automatically_translated_slug_it_it":null,"_trp_automatically_translated_slug_pt_pt":null,"_trp_automatically_translated_slug_zh_cn":null,"_trp_automatically_translated_slug_nl_nl":null,"_trp_automatically_translated_slug_pt_br":null,"_trp_automatically_translated_slug_sv_se":null,"rank_math_analytic_object_id":null,"rank_math_internal_links_processed":"1","_trp_automatically_translated_slug_ro_ro":null,"_trp_automatically_translated_slug_sk_sk":null,"_trp_automatically_translated_slug_bg_bg":null,"_trp_automatically_translated_slug_sl_si":null,"litespeed_vpi_list":null,"litespeed_vpi_list_mobile":null,"rank_math_seo_score":null,"rank_math_contentai_score":null,"ilj_limitincominglinks":null,"ilj_maxincominglinks":null,"ilj_limitoutgoinglinks":null,"ilj_maxoutgoinglinks":null,"ilj_limitlinksperparagraph":null,"ilj_linksperparagraph":null,"ilj_blacklistdefinition":null,"ilj_linkdefinition":null,"_eb_reusable_block_ids":null,"rank_math_focus_keyword":"Mailserver TLS","rank_math_og_content_image":null,"_yoast_wpseo_metadesc":null,"_yoast_wpseo_content_score":null,"_yoast_wpseo_focuskeywords":null,"_yoast_wpseo_keywordsynonyms":null,"_yoast_wpseo_estimated-reading-time-minutes":null,"rank_math_description":null,"surfer_last_post_update":null,"surfer_last_post_update_direction":null,"surfer_keywords":null,"surfer_location":null,"surfer_draft_id":null,"surfer_permalink_hash":null,"surfer_scrape_ready":null,"_thumbnail_id":"18962","footnotes":null,"_links":{"self":[{"href":"https:\/\/webhosting.de\/da\/wp-json\/wp\/v2\/posts\/18969","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/webhosting.de\/da\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/webhosting.de\/da\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/webhosting.de\/da\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/webhosting.de\/da\/wp-json\/wp\/v2\/comments?post=18969"}],"version-history":[{"count":0,"href":"https:\/\/webhosting.de\/da\/wp-json\/wp\/v2\/posts\/18969\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/webhosting.de\/da\/wp-json\/wp\/v2\/media\/18962"}],"wp:attachment":[{"href":"https:\/\/webhosting.de\/da\/wp-json\/wp\/v2\/media?parent=18969"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/webhosting.de\/da\/wp-json\/wp\/v2\/categories?post=18969"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/webhosting.de\/da\/wp-json\/wp\/v2\/tags?post=18969"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}