{"id":18969,"date":"2026-04-12T15:05:59","date_gmt":"2026-04-12T13:05:59","guid":{"rendered":"https:\/\/webhosting.de\/blog-mailserver-tls-konfiguration-cipher-auswahl-optimierung-server\/"},"modified":"2026-04-12T15:05:59","modified_gmt":"2026-04-12T13:05:59","slug":"blog-mailserver-konfiguracja-tls-wybor-szyfru-optymalizacja-serwera","status":"publish","type":"post","link":"https:\/\/webhosting.de\/pl\/blog-mailserver-tls-konfiguration-cipher-auswahl-optimierung-server\/","title":{"rendered":"Konfiguracja TLS serwera pocztowego i wyb\u00f3r szyfru: Kompletny przewodnik"},"content":{"rendered":"<p>Poka\u017c\u0119 ci, jak <strong>Serwer pocztowy TLS<\/strong> w Postfix i wybra\u0107 silne zestawy szyfr\u00f3w, aby po\u0142\u0105czenia SMTP by\u0142y konsekwentnie chronione. W oparciu o wypr\u00f3bowane i przetestowane parametry dla TLS 1.2\/1.3, DANE, MTA-STS i nowoczesnych par kluczy, poprowadz\u0119 Ci\u0119 krok po kroku przez konfiguracj\u0119, testowanie i strojenie, tak aby Twoje <strong>bezpiecze\u0144stwo poczty<\/strong> czysto chwyta.<\/p>\n\n<h2>Punkty centralne<\/h2>\n\n<ul>\n  <li><strong>Postfix<\/strong> Bezpieczna konfiguracja: Aktywuj TLS, ogranicz protoko\u0142y, ustaw logowanie.<\/li>\n  <li><strong>Szyfr<\/strong> priorytety: ECDHE + GCM\/CHACHA20, egzekwowanie PFS, blokowanie starszych danych.<\/li>\n  <li><strong>Certyfikaty<\/strong> zachowaj czysto\u015b\u0107: RSA+ECDSA, kompletny \u0142a\u0144cuch, mocne zakrzywienia.<\/li>\n  <li><strong>DANE\/MTA-STS<\/strong> wykorzysta\u0107: Wytyczne dotycz\u0105ce zakotwiczenia i zmniejszenie ryzyka obni\u017cenia ratingu.<\/li>\n  <li><strong>Testy<\/strong> i monitorowanie: Regularnie sprawdzaj OpenSSL, skaner TLS, logi MTA.<\/li>\n<\/ul>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver-konfiguration-4721.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>SMTP przez TLS: co jest naprawd\u0119 zabezpieczone?<\/h2>\n\n<p>Zabezpieczam SMTP za pomoc\u0105 <strong>STARTTLS<\/strong>, aby transport wiadomo\u015bci e-mail nie odbywa\u0142 si\u0119 w postaci zwyk\u0142ego tekstu. Opportunistyczny TLS poprzez <strong>smtpd_tls_security_level = may<\/strong> zapewnia, \u017ce po\u0142\u0105czenia przychodz\u0105ce korzystaj\u0105 z szyfrowania, gdy tylko stacja zdalna je zaoferuje. Dla po\u0142\u0105cze\u0144 wychodz\u0105cych u\u017cywam <strong>smtp_tls_security_level = dane<\/strong> Kontrole zasad obs\u0142ugiwane przez DNSSEC, aby utrudni\u0107 ataki typu downgrade. Bez TLS wiadomo\u015bci e-mail mog\u0105 by\u0107 odczytywane i manipulowane podczas przesy\u0142ania, co jest szczeg\u00f3lnie niebezpieczne w przypadku formularzy, zam\u00f3wie\u0144 lub danych konta. Dzi\u0119ki aktywnemu TLS znacznie zmniejszam ryzyko pods\u0142uchiwania i MITM, a tak\u017ce osi\u0105gam lepsze wska\u017aniki dostarczania, poniewa\u017c duzi dostawcy korzystnie oceniaj\u0105 bezpieczne po\u0142\u0105czenia.<\/p>\n\n<h2>Klucze, certyfikaty i protoko\u0142y w Postfix<\/h2>\n\n<p>Mam przygotowane dwa certyfikaty: jeden <strong>RSA<\/strong>-certyfikat i certyfikat ECDSA, aby stare i nowe MTA by\u0142y optymalnie po\u0142\u0105czone. \u015acie\u017cki w Postfixie ustawiam jasno, na przyk\u0142ad <strong>smtpd_tls_cert_file<\/strong> dla RSA i <strong>smtpd_tls_eccert_file<\/strong> dla ECDSA, ka\u017cdy z pasuj\u0105cym kluczem. W przypadku czystego uwierzytelniania zwracam uwag\u0119 na kompletny \u0142a\u0144cuch, CN\/SAN, kt\u00f3ry dok\u0142adnie pasuje do hosta i krzyw\u0105 tak\u0105 jak <strong>secp384r1<\/strong> dla klucza ECDSA. \u015aci\u015ble dezaktywuj\u0119 starsze protoko\u0142y, tj. SSLv2 i SSLv3, aby zapobiec wymuszonym aktualizacjom. Je\u015bli zastanawiasz si\u0119 nad typem certyfikatu, sp\u00f3jrz na stron\u0119 <a href=\"https:\/\/webhosting.de\/pl\/certyfikaty-tls-porownanie-bezpieczenstwa-hostingu-dv-ov-ev\/\">DV, OV lub EV<\/a>, aby wybra\u0107 odpowiedni poziom zaufania.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/tls_configuration_guide_4928.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Wyb\u00f3r szyfru: Priorytety dla TLS 1.2\/1.3<\/h2>\n\n<p>Priorytetem s\u0105 zestawy szyfr\u00f3w z <strong>PFS<\/strong>, tj. ECDHE przed DHE i u\u017cywa\u0107 GCM lub CHACHA20-POLY1305. Zgodnie z TLS 1.3, stos uwalnia ci\u0119 od wielu starszych problem\u00f3w, podczas gdy TLS 1.2 nadal wymaga jasnej listy. Niezabezpieczone lub s\u0142abe pakiety, takie jak <strong>RC4<\/strong>, Usuwam 3DES, CAMELLIA, aNULL, eNULL. Dla Postfix u\u017cywam <strong>smtpd_tls_ciphers = high<\/strong> i restrykcyjny <em>tls_high_cipherlist<\/em>, aby nie prze\u015blizgn\u0119\u0142y si\u0119 \u017cadne przestarza\u0142e algorytmy. Je\u015bli zag\u0142\u0119bi\u0107 si\u0119 bardziej, to <a href=\"https:\/\/webhosting.de\/pl\/tls-szyfry-hosting-bezpieczenstwo-serverboost\/\">Przewodnik po pakietach szyfruj\u0105cych<\/a> \u0142atwa do zrozumienia kategoryzacja bez balastu.<\/p>\n\n<table>\n  <thead>\n    <tr>\n      <th>Wersja TLS<\/th>\n      <th>Ulubione zestawy szyfr\u00f3w<\/th>\n      <th>Status<\/th>\n      <th>Wskaz\u00f3wka<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr>\n      <td><strong>TLS 1.3<\/strong><\/td>\n      <td>TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256<\/td>\n      <td>aktywny<\/td>\n      <td>Wyb\u00f3r mocno osadzony w protokole, koniec ze starszymi problemami.<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>TLS 1.2<\/strong><\/td>\n      <td>ECDHE-ECDSA-AES256-GCM-SHA384, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-CHACHA20-POLY1305<\/td>\n      <td>aktywny<\/td>\n      <td>Priorytet PFS, preferowane GCM\/CHACHA.<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>Przestarza\u0142e<\/strong><\/td>\n      <td>RC4, 3DES, CAMELLIA, AES128-SHA, aNULL\/eNULL<\/td>\n      <td>zablokowany<\/td>\n      <td>Ca\u0142kowicie dezaktywowa\u0107 ze wzgl\u0119d\u00f3w bezpiecze\u0144stwa.<\/td>\n    <\/tr>\n  <\/tbody>\n<\/table>\n\n<h2>Postfix: konkretne parametry dla main.cf<\/h2>\n\n<p>Ustawiam przejrzyst\u0105 konfiguracj\u0119, aby MTA bezpiecznie rozmawia\u0142 zar\u00f3wno przychodz\u0105co, jak i wychodz\u0105co. Dla efemerycznego ECDH, u\u017cywam <strong>smtpd_tls_eecdh_grade<\/strong> Ustawiam jako\u015b\u0107 krzywej i wy\u0142\u0105czam kompresj\u0119, aby unikn\u0105\u0107 atak\u00f3w podobnych do CRIME. Silny plik DH z 4096 bitami zapobiega s\u0142abym negocjacjom DHE. Nak\u0142adam twarde ograniczenia na protoko\u0142y i wymuszam wysok\u0105 jako\u015b\u0107 szyfr\u00f3w, faworyzuj\u0105c TLS 1.3. Na pocz\u0105tku umiarkowany poziom dziennika pomaga mi sprawdza\u0107 u\u015bciski d\u0142oni bez zalewania dziennika.<\/p>\n\n<pre><code>Aktywacja i polityka #\nsmtpd_tls_security_level = may\nsmtp_tls_security_level = dane\n\nCertyfikaty # (przyk\u0142adowe \u015bcie\u017cki)\nsmtpd_tls_cert_file = \/etc\/ssl\/certs\/mail.example.de.cer\nsmtpd_tls_key_file = \/etc\/ssl\/private\/mail.example.de.key\nsmtpd_tls_eccert_file = \/etc\/ssl\/certs\/mail.example.de_ecc.cer\nsmtpd_tls_eckey_file = \/etc\/ssl\/private\/mail.example.de_ecc.key\n\nProtoko\u0142y i szyfry #\nsmtpd_tls_protocols = !SSLv2, !SSLv3\nsmtpd_tls_mandatory_protocols = !SSLv2, !SSLv3\nsmtpd_tls_ciphers = high\ntls_high_cipherlist = !aNULL:!eNULL:!RC4:!3DES:!CAMELLIA:HIGH:@STRENGTH\ntls_ssl_options = NO_COMPRESSION\nsmtpd_tls_eecdh_grade = ultra\n\nParametry DH #\nsmtpd_tls_dh1024_param_file = \/etc\/postfix\/dh_4096.pem\n\n# DNSSEC\/DANE (je\u015bli dost\u0119pne)\nsmtp_dns_support_level = dnssec\n\n# Logowanie\nsmtpd_tls_loglevel = 1\n<\/code><\/pre>\n\n<p>Utrzymuj\u0119 kompletny \u0142a\u0144cuch certyfikat\u00f3w, zwracam uwag\u0119 na prawid\u0142owe uprawnienia dla <strong>prywatny<\/strong> pliki kluczy i sprawdzi\u0107 logi po prze\u0142adowaniu. Je\u015bli TLS 1.2 jest wymagany dla starszych partner\u00f3w, trzymam si\u0119 \u015bci\u015ble GCM\/CHACHA i blokuj\u0119 wszystko inne. W przypadku TLS 1.3 polegam na standardach stosu i unikam specjalnych \u015bcie\u017cek, kt\u00f3re utrudniaj\u0105 konserwacj\u0119. Zszywanie OCSP odgrywa rol\u0119 w SMTP tylko wtedy, gdy zapewnia je serwer proxy, wi\u0119c sprawdzam to tylko dla odpowiednich konfiguracji. Po ka\u017cdej zmianie sprawdzam poprawno\u015b\u0107 za pomoc\u0105 OpenSSL, aby wcze\u015bnie rozpozna\u0107 efekty uboczne i upewni\u0107 si\u0119, \u017ce <strong>Szyfrowanie wiadomo\u015bci e-mail<\/strong> konsekwentnie.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver-tls-guide-cipher-tips-6954.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Autentyczno\u015b\u0107 transportu z DANE, MTA-STS, SPF, DKIM i DMARC<\/h2>\n\n<p>\u0141\u0105cz\u0119 TLS z <strong>DANE<\/strong>, publikuj\u0105c podpisane rekordy TLSA w ramach DNSSEC. Ponadto ustawiam MTA-STS, aby zdalne urz\u0105dzenia r\u00f3wnorz\u0119dne wiedzia\u0142y, \u017ce m\u00f3j host wymaga TLS i kt\u00f3rego MX powinny przestrzega\u0107. W celu powi\u0105zania to\u017csamo\u015bci podpisuj\u0119 wychodz\u0105ce wiadomo\u015bci e-mail za pomoc\u0105 <strong>DKIM<\/strong> i bezpieczne dostarczanie domen za pomoc\u0105 regu\u0142 SPF. Wreszcie, DMARC definiuje, w jaki spos\u00f3b odbiorcy powinni radzi\u0107 sobie z odchyleniami, co znacznie utrudnia spoofing. Komponenty te wsp\u00f3\u0142pracuj\u0105 ze sob\u0105: TLS chroni transport, podczas gdy uwierzytelnianie wzmacnia nadawc\u0119 i zauwa\u017calnie zwi\u0119ksza szybko\u015b\u0107 dostarczania.<\/p>\n\n<p>Je\u015bli wydajno\u015b\u0107 jest w\u0105skim gard\u0142em, optymalizuj\u0119 wznawianie sesji, funkcje sprz\u0119towe i sam handshake. Mo\u017cesz zacz\u0105\u0107 od praktycznych sztuczek z <a href=\"https:\/\/webhosting.de\/pl\/optymalizacja-wydajnosci-uzgadniania-polaczenia-tls-quicboost\/\">Szybszy u\u015bcisk d\u0142oni TLS<\/a>, aby zmniejszy\u0107 op\u00f3\u017anienie podczas nawi\u0105zywania po\u0142\u0105czenia. Wa\u017cne: wyb\u00f3r szyfru i wznawianie po\u0142\u0105czenia powinny by\u0107 zr\u00f3wnowa\u017cone, poniewa\u017c s\u0142abe kompromisy nie op\u0142acaj\u0105 si\u0119 pod wzgl\u0119dem bezpiecze\u0144stwa. Szybkie negocjacje TLS przynosz\u0105 znaczne oszcz\u0119dno\u015bci, zw\u0142aszcza przy du\u017cej ilo\u015bci poczty. W ten spos\u00f3b <strong>Przepustowo\u015b\u0107<\/strong> i bezpiecze\u0144stwo w r\u00f3wnowadze.<\/p>\n\n<h2>Testowanie, monitorowanie i audyty<\/h2>\n\n<p>Sprawdzam u\u015bciski d\u0142oni lokalnie za pomoc\u0105 <strong>openssl<\/strong> i sprawdzi\u0107 wersj\u0119 protoko\u0142u, szyfr i \u0142a\u0144cuch certyfikat\u00f3w. Polecenie <em>openssl s_client -connect mail.example.de:25 -starttls smtp<\/em> pokazuje mi na \u017cywo, co negocjuje zdalny serwer. Po zmianach konfiguracji u\u017cywam <em>sprawdzenie postfix<\/em> i przyjrze\u0107 si\u0119 w szczeg\u00f3lno\u015bci <strong>smtpd_tls_loglevel<\/strong>, aby wyizolowa\u0107 wzorce b\u0142\u0119d\u00f3w. Zewn\u0119trzne skanery TLS pomagaj\u0105 kategoryzowa\u0107 widoczno\u015b\u0107 publiczn\u0105, zw\u0142aszcza po zmianach certyfikat\u00f3w. Regularny cykl audytu chroni przed pe\u0142zaj\u0105cym pogorszeniem, na przyk\u0142ad je\u015bli zmiana biblioteki wp\u0142ywa na priorytety szyfr\u00f3w.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver_tls_guide_nacht_4523.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Cz\u0119ste b\u0142\u0119dne konfiguracje i szybkie poprawki<\/h2>\n\n<p>Cz\u0119sto widz\u0119 przestarza\u0142e szyfry, takie jak <strong>AES128-SHA<\/strong>, kt\u00f3re s\u0105 nadal aktywne i zapobiegaj\u0105 PFS. \u015acis\u0142y \u0142a\u0144cuch szyfruj\u0105cy i wyra\u017ane blokowanie LOW\/MD5\/RC4\/3DES pomaga tutaj. Drugi wzorzec: brakuj\u0105ce certyfikaty po\u015brednie, kt\u00f3re uniemo\u017cliwiaj\u0105 stacjom zdalnym weryfikacj\u0119 \u0142a\u0144cucha; dodaj\u0119 plik bundle i testuj\u0119 ponownie. Na urz\u0105dzeniach takich jak Synology ustawiam profil TLS na nowoczesny i usuwam starsze opcje, aby serwer SMTP m\u00f3wi\u0142 nowocze\u015bnie. W przypadku Microsoft Exchange sprawdzam w szczeg\u00f3lno\u015bci zasady TLS 1.2\/1.3, przypisanie certyfikatu na z\u0142\u0105cze i wszelkie nadpisania szyfr\u00f3w w konfiguracji hosta, aby serwer SMTP dzia\u0142a\u0142 w trybie nowoczesnym. <strong>U\u015bcisk d\u0142oni<\/strong>-wyb\u00f3r jest w\u0142a\u015bciwy.<\/p>\n\n<h2>Podgl\u0105d: TLS 1.3, 0-RTT i Post-Quantum<\/h2>\n\n<p>Wol\u0119 TLS 1.3, poniewa\u017c u\u015bcisk d\u0142oni jest kr\u00f3tszy, a stare opcje s\u0105 pomijane, co zmniejsza powierzchnie ataku. Wyb\u00f3r opcji <strong>szyfr<\/strong> Nie u\u017cywam 0-RTT w kontek\u015bcie SMTP, poniewa\u017c ataki typu replay nios\u0105 ze sob\u0105 niepotrzebne ryzyko. W przysz\u0142o\u015bci mam oko na hybrydowe procedury post-kwantowe, kt\u00f3re mog\u0105 znale\u017a\u0107 drog\u0119 do \u015brodowiska pocztowego, gdy tylko standaryzacja i wsparcie dojrzej\u0105. Wa\u017cne jest, aby skonfigurowa\u0107 zasady i monitorowanie w taki spos\u00f3b, aby nowe procedury mo\u017cna by\u0142o p\u00f3\u017aniej zintegrowa\u0107 bez zak\u0142\u00f3ce\u0144.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver_tls_guide_7492.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Wydajno\u015b\u0107 i szybko\u015b\u0107 dostawy w skr\u00f3cie<\/h2>\n\n<p>Mierz\u0119 <strong>Op\u00f3\u017anienie<\/strong> u\u015bcisku d\u0142oni TLS i zoptymalizowa\u0107 pami\u0119ci podr\u0119czne, aby umo\u017cliwi\u0107 ich ponowne wykorzystanie. Wznawianie sesji (bilety\/identyfikatory) zmniejsza obci\u0105\u017cenie obliczeniowe i przyspiesza powtarzaj\u0105ce si\u0119 po\u0142\u0105czenia mi\u0119dzy MTA. W przypadku odwo\u0142ywania certyfikat\u00f3w polegam na informacjach o stosie w proxy upstream, je\u015bli s\u0105 dost\u0119pne, aby zaoszcz\u0119dzi\u0107 dodatkowych dost\u0119p\u00f3w. Duzi odbiorcy korzystnie oceniaj\u0105 bezpieczne transporty, co zwi\u0119ksza szybko\u015b\u0107 dostarczania, podczas gdy niezabezpieczone \u015bcie\u017cki zwi\u0119kszaj\u0105 ryzyko spamu i odrzucenia. Dzi\u0119ki jasnej polityce TLS, solidnym wpisom DNS i czystemu \u0142a\u0144cuchowi podpis\u00f3w tworz\u0119 niezawodn\u0105 podstaw\u0119 dla <strong>Dostarczalno\u015b\u0107<\/strong>.<\/p>\n\n<h2>M\u00f3j harmonogram konfiguracji<\/h2>\n\n<p>Zaczynam od uzyskania certyfikatu od godnego zaufania CA, generuj\u0119 ECDSA i RSA i przechowuj\u0119 oba czysto na ho\u015bcie. Nast\u0119pnie dostosowuj\u0119 <strong>main.cf<\/strong> z parametrami TLS, ustawi\u0107 silne szyfry i dezaktywowa\u0107 stare protoko\u0142y. Dodawany jest nowy plik DH z 4096 bitami, po czym nast\u0119puje prze\u0142adowanie i pierwsze testy OpenSSL. Nast\u0119pnie konfiguruj\u0119 DANE, dodaj\u0119 MTA-STS i sprawdzam wa\u017cno\u015b\u0107 SPF\/DKIM\/DMARC. Na koniec uruchamiam testy z zewn\u0119trznymi celami, sprawdzam dzienniki podczas pracy i planuj\u0119 regularne audyty, tak aby <strong>Konfiguracja<\/strong> pozostaje bezpieczny w d\u0142u\u017cszej perspektywie.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/tls-einstellungen-leitfaden-8421.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Brakuj\u0105ce modu\u0142y: Submission, SMTPS i SNI<\/h2>\n\n<p>Zabezpieczam nie tylko port 25, ale tak\u017ce przesy\u0142anie (587) i opcjonalnie SMTPS (465). W przypadku przesy\u0142ania wymuszam szyfrowanie i uwierzytelnianie, aby has\u0142a u\u017cytkownik\u00f3w nigdy nie by\u0142y wysy\u0142ane w postaci zwyk\u0142ego tekstu. W <em>master.cf<\/em> Aktywuj\u0119 us\u0142ugi i ustawiam okre\u015blone nadpisania:<\/p>\n\n<pre><code>Przesy\u0142anie # (port 587) z STARTTLS i obowi\u0105zkiem autoryzacji\nsubmission inet n - y - - smtpd\n  -o syslog_name=postfix\/submission\n  -o smtpd_tls_security_level=encrypt\n  -o smtpd_tls_auth_only=yes\n  -o smtpd_sasl_auth_enable=yes\n  -o milter_macro_daemon_name=ORIGINATING\n\n# SMTPS (port 465) jako tryb wrapper, je\u015bli jest wymagany\nsmtps inet n - y - - smtpd\n  -o syslog_name=postfix\/smtps\n  -o smtpd_tls_wrappermode=yes\n  -o smtpd_sasl_auth_enable=yes\n  -o milter_macro_daemon_name=ORIGINATING\n<\/code><\/pre>\n\n<p>Je\u015bli obs\u0142uguj\u0119 kilka domen pocztowych na jednym ho\u015bcie z w\u0142asnymi certyfikatami, u\u017cywam <strong>SNI<\/strong>. U\u017cywam mapy SNI, aby przypisa\u0107 odpowiedni\u0105 \u015bcie\u017ck\u0119 certyfikatu dla ka\u017cdego hosta docelowego i upewni\u0107 si\u0119, \u017ce klienci MUA r\u00f3wnie\u017c widz\u0105 prawid\u0142owy certyfikat. W ten spos\u00f3b zapewniam separacj\u0119 klient\u00f3w ze sp\u00f3jn\u0105 to\u017csamo\u015bci\u0105 TLS.<\/p>\n\n<h2>Zasady dla poszczeg\u00f3lnych domen: precyzyjna kontrola<\/h2>\n\n<p>Opr\u00f3cz polityki globalnej zarz\u0105dzam r\u00f3wnie\u017c <strong>smtp_tls_policy_maps<\/strong> Wyj\u0105tki i zaostrzenia dla poszczeg\u00f3lnych domen odbiorc\u00f3w. Pozwala mi to na stopniow\u0105 migracj\u0119 starszych partner\u00f3w lub egzekwowanie szczeg\u00f3lnie surowych wymaga\u0144 dla wra\u017cliwych cel\u00f3w.<\/p>\n\n<pre><code># main.cf\nsmtp_tls_policy_maps = hash:\/etc\/postfix\/tls_policy\n\n# \/etc\/postfix\/tls_policy (przyk\u0142adowe wpisy)\nexample.org tylko dane\nlegacy.example.net may\nsecure.example.com secure\n<\/code><\/pre>\n\n<p><em>tylko dane<\/em> wymusza ochron\u0119 DANE bez zale\u017cno\u015bci od CA, <em>bezpieczny<\/em> wymaga wa\u017cnego \u0142a\u0144cucha CA i odmawia dostarczenia zwyk\u0142ego tekstu, <em>mo\u017ce<\/em> pozostaje oportunistyczna. Po zmianach buduj\u0119 map\u0119 za pomoc\u0105 <em>postmapa<\/em> i prze\u0142adowa\u0107 Postfix.<\/p>\n\n<h2>DANE i MTA-STS: konkretne wdro\u017cenie<\/h2>\n\n<p>Dla <strong>DANE<\/strong> Publikuj\u0119 rekordy TLSA w DNSSEC. Wol\u0119 u\u017cywa\u0107 DANE-EE (3 1 1), poniewa\u017c umo\u017cliwia przypi\u0119cie do klucza publicznego i u\u0142atwia zmian\u0119 certyfikatu za pomoc\u0105 tego samego klucza. Przyk\u0142adowy rekord TLSA pod <em>_25._tcp.mail.example.de<\/em> wygl\u0105da nast\u0119puj\u0105co:<\/p>\n\n<pre><code>_25._tcp.mail.example.de. IN TLSA 3 1 1\n<\/code><\/pre>\n\n<p>Generuj\u0119 skr\u00f3t z certyfikatu ECDSA lub RSA i upewniam si\u0119, \u017ce obr\u00f3c\u0119 go przed wyga\u015bni\u0119ciem. Wa\u017cne jest, aby strefa DNS by\u0142a podpisana, a \u0142a\u0144cuch delegacji zosta\u0142 zweryfikowany bez luk.<\/p>\n\n<p>Dla <strong>MTA-STS<\/strong> Hostuj\u0119 plik zasad przez HTTPS i dodaj\u0119 wpis TXT DNS. W ten spos\u00f3b okre\u015blam, \u017ce zdalne urz\u0105dzenia r\u00f3wnorz\u0119dne korzystaj\u0105 z protoko\u0142u TLS i s\u0105 akceptowane tylko ze zdefiniowanym MX. Minimalistyczny plik zasad:<\/p>\n\n<pre><code>wersja: STSv1\nmode: enforce\nmx: mail.example.de\nmax_age: 604800\n<\/code><\/pre>\n\n<p>Wpis TXT jest dodawany w DNS w sekcji <em>_mta-sts.example.de<\/em> z aktualn\u0105 wersj\u0105. Opcjonalnie ustawiam <em>TLS-RPT<\/em> przez TXT pod <em>_smtp._tls.example.de<\/em> aby otrzymywa\u0107 raporty o naruszeniach zasad. Ta telemetria pomaga mi rozpoznawa\u0107 awarie, obni\u017cenia i wadliwe certyfikaty na wczesnym etapie.<\/p>\n\n<h2>Zaostrzenie protoko\u0142\u00f3w, okre\u015blenie szyfru<\/h2>\n\n<p>Zaostrzam limity protoko\u0142\u00f3w i wymuszam preferencje serwer\u00f3w. TLS 1.0\/1.1 s\u0105 dzi\u015b zb\u0119dne; zezwalam tylko na TLS 1.2 i 1.3 w g\u0142\u0119bi i na zasadzie wychodz\u0105cej. Dla TLS 1.2 definiuj\u0119 wyra\u017an\u0105 list\u0119 pozytywn\u0105, aby wykluczy\u0107 mieszane zasoby starych szyfr\u00f3w:<\/p>\n\n<pre><code># Dodatkowe zabezpieczenia (main.cf)\nsmtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\n\n# Jawna lista szyfr\u00f3w TLS 1.2 (tylko PFS + AEAD)\ntls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:!aNULL:!eNULL:!MD5:!RC4:!3DES:!CAMELLIA\n\n# U\u017cyj preferencji serwera\ntls_preempt_cipherlist = yes\n<\/code><\/pre>\n\n<p>Upewniam si\u0119, \u017ce ECDHE jest faworyzowane, a DHE jest tylko rozwi\u0105zaniem awaryjnym. Aktualizuj\u0119 m\u00f3j plik DH; w TLS 1.3 nie odgrywa on \u017cadnej roli, ale nadal jest przydatny w przypadku rzadkich dzia\u0142a\u0144 DHE.<\/p>\n\n<h2>Wznawianie sesji i pami\u0119\u0107 podr\u0119czna<\/h2>\n\n<p>Aby przyspieszy\u0107 dzia\u0142anie, aktywuj\u0119 pami\u0119\u0107 podr\u0119czn\u0105 sesji dla klienta i serwera, aby ponowne po\u0142\u0105czenia by\u0142y bardziej korzystne. Obci\u0105\u017cenie procesora i op\u00f3\u017anienia s\u0105 zauwa\u017calnie zmniejszone, szczeg\u00f3lnie przy wysokiej przepustowo\u015bci poczty:<\/p>\n\n<pre><code>Pami\u0119\u0107 podr\u0119czna sesji # (main.cf)\nsmtpd_tls_session_cache_database = btree:\/var\/lib\/postfix\/smtpd_scache\nsmtp_tls_session_cache_database = btree:\/var\/lib\/postfix\/smtp_scache\nsmtp_tls_connection_reuse = yes\n<\/code><\/pre>\n\n<p>Monitoruj\u0119 wsp\u00f3\u0142czynnik trafie\u0144 w logach i upewniam si\u0119, \u017ce \u017caden z nich nie jest zbyt kr\u00f3tki. <em>ticket_lifetimes<\/em> w bibliotece TLS, aby spowolni\u0107 wznawianie. Wa\u017cne: wznowienie nie mo\u017ce os\u0142abia\u0107 polityki; trzymam si\u0119 tych samych wymaga\u0144 dotycz\u0105cych szyfr\u00f3w.<\/p>\n\n<h2>Certyfikowana firma: Rotacja i konserwacja \u0142a\u0144cucha<\/h2>\n\n<p>Automatyzuj\u0119 odnawianie i prze\u0142adowywanie MTA, aby \u017cadne wygas\u0142e certyfikaty nie dzia\u0142a\u0142y. Po ka\u017cdym odnowieniu sprawdzam, czy certyfikaty li\u015bcia i po\u015brednie s\u0105 w ca\u0142o\u015bci w pakiecie. W przypadku podw\u00f3jnych operacji ECDSA\/RSA upewniam si\u0119, \u017ce obie pary obracaj\u0105 si\u0119, zanim masowa zmiana spowoduje problemy dla klient\u00f3w. Osobno testuj\u0119 \u015bcie\u017ck\u0119 SNI i przesy\u0142anie, poniewa\u017c MUA mog\u0105 wykazywa\u0107 inne wzorce b\u0142\u0119d\u00f3w ni\u017c MTA.<\/p>\n\n<h2>Pog\u0142\u0119bione rejestrowanie i diagnostyka<\/h2>\n\n<p>Tymczasowo zwi\u0119kszam g\u0142\u0119boko\u015b\u0107 dziennika, gdy pojawia si\u0119 problem i u\u017cywam narz\u0119dzi pok\u0142adowych do kontroli krzy\u017cowych:<\/p>\n\n<pre><code># ukierunkowane logowanie (main.cf)\nsmtp_tls_loglevel = 1\nsmtp_tls_note_starttls_offer = yes\n<\/code><\/pre>\n\n<p>Z <em>posttls-finger target.example.com<\/em> Sprawdzam, jakich zasad oczekuje zdalny MTA i jakie szyfry\/protoko\u0142y s\u0105 negocjowane. U\u017cywam <em>postconf -n | grep tls<\/em>, aby zobaczy\u0107 tylko jawnie ustawione parametry TLS; w ten spos\u00f3b mog\u0119 szybciej znale\u017a\u0107 odchylenia od warto\u015bci domy\u015blnych. W logach wyszukuj\u0119 takie terminy jak <em>brak wsp\u00f3\u0142dzielonego szyfru<\/em>, <em>weryfikacja certyfikatu nie powiod\u0142a si\u0119<\/em> lub <em>wersja protoko\u0142u<\/em>, kt\u00f3re bezpo\u015brednio wskazuj\u0105 na niedopasowanie szyfru, problemy z \u0142a\u0144cuchem lub zbyt surowe\/zbyt lu\u017ane limity protoko\u0142u.<\/p>\n\n<h2>Zarz\u0105dzanie kompatybilno\u015bci\u0105 bez po\u015bwi\u0119cania bezpiecze\u0144stwa<\/h2>\n\n<p>\u015awiadomie planuj\u0119 przej\u015bcia: jestem na bie\u017c\u0105co z <em>mo\u017ce<\/em>, aby unikn\u0105\u0107 utraty poczty ze starszych serwer\u00f3w, ale rejestruj\u0119 dostawy zwyk\u0142ego tekstu. Wychodz\u0105ce pozostaj\u0119 \u015bcis\u0142e (DANE\/MTA-STS\/secure) i u\u017cywam <em>smtp_tls_policy_maps<\/em> dla indywidualnych przypadk\u00f3w. Je\u015bli poszczeg\u00f3lni partnerzy mog\u0105 zarz\u0105dza\u0107 tylko TLS 1.2 z AES-GCM, jest to akceptowalne; zarz\u0105dzam wszystkim poni\u017cej tego poziomu poprzez uzgodnione wyj\u0105tki z ograniczonym czasem dzia\u0142ania, dokumentuj\u0119 je i uwzgl\u0119dniam w planowaniu migracji. Utrzymuje to og\u00f3lny poziom na wysokim poziomie bez blokowania operacji biznesowych.<\/p>\n\n<h2>Domy\u015blne ustawienia TLS systemu w skr\u00f3cie<\/h2>\n\n<p>Nale\u017cy pami\u0119ta\u0107, \u017ce Postfix korzysta z systemowej biblioteki TLS. Aktualizacje OpenSSL\/LibreSSL mog\u0105 zmieni\u0107 priorytety szyfr\u00f3w i zachowanie TLS 1.3. Dlatego po aktualizacjach systemu losowo sprawdzam u\u015bciski d\u0142oni i por\u00f3wnuj\u0119 dane wyj\u015bciowe <em>postconf -n<\/em> z moimi warto\u015bciami docelowymi. Zestaw <em>compatibility_level<\/em> w Postfixie pomaga utrzyma\u0107 stabilne ustawienia domy\u015blne, ale nie polegam na nim \u015blepo i dokumentuj\u0119 wyra\u017ane odchylenia w main.cf\/master.cf.<\/p>\n\n<h2>Kr\u00f3tkie podsumowanie dla administrator\u00f3w<\/h2>\n\n<p>Chcia\u0142bym podkre\u015bli\u0107, \u017ce silne szyfry z PFS, czyste certyfikaty i jasne zasady s\u0105 niezb\u0119dne dla <strong>SMTP<\/strong> kluczowe. TLS 1.3 uwalnia od starszych problem\u00f3w, podczas gdy TLS 1.2 wymaga zdyscyplinowanej listy szyfr\u00f3w. DANE i MTA-STS wzmacniaj\u0105 \u015bcie\u017ck\u0119 transportow\u0105, SPF\/DKIM\/DMARC zabezpieczaj\u0105 to\u017csamo\u015b\u0107 i raportowanie. Regularne testy i analizy dziennik\u00f3w pokazuj\u0105 wcze\u015bnie, czy zmiana ma niepo\u017c\u0105dane skutki uboczne. Dzi\u0119ki temu przewodnikowi mo\u017cesz skonfigurowa\u0107 sw\u00f3j serwer pocztowy tak, aby by\u0142 bezpieczny, wydajny i przysz\u0142o\u015bciowy - bez zb\u0119dnych koszt\u00f3w. <strong>Ryzyko<\/strong>.<\/p>","protected":false},"excerpt":{"rendered":"<p>Konfiguracja serwera pocztowego TLS i wyb\u00f3r szyfru: konfiguracja smtp tls dla optymalnego bezpiecze\u0144stwa poczty i hostingu szyfrowania wiadomo\u015bci e-mail. Kompletny przewodnik eksperta.<\/p>","protected":false},"author":1,"featured_media":18962,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_crdt_document":"","inline_featured_image":false,"footnotes":""},"categories":[708],"tags":[],"class_list":["post-18969","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-email"],"acf":[],"_wp_attached_file":null,"_wp_attachment_metadata":null,"litespeed-optimize-size":null,"litespeed-optimize-set":null,"_elementor_source_image_hash":null,"_wp_attachment_image_alt":null,"stockpack_author_name":null,"stockpack_author_url":null,"stockpack_provider":null,"stockpack_image_url":null,"stockpack_license":null,"stockpack_license_url":null,"stockpack_modification":null,"color":null,"original_id":null,"original_url":null,"original_link":null,"unsplash_location":null,"unsplash_sponsor":null,"unsplash_exif":null,"unsplash_attachment_metadata":null,"_elementor_is_screenshot":null,"surfer_file_name":null,"surfer_file_original_url":null,"envato_tk_source_kit":null,"envato_tk_source_index":null,"envato_tk_manifest":null,"envato_tk_folder_name":null,"envato_tk_builder":null,"envato_elements_download_event":null,"_menu_item_type":null,"_menu_item_menu_item_parent":null,"_menu_item_object_id":null,"_menu_item_object":null,"_menu_item_target":null,"_menu_item_classes":null,"_menu_item_xfn":null,"_menu_item_url":null,"_trp_menu_languages":null,"rank_math_primary_category":null,"rank_math_title":null,"inline_featured_image":null,"_yoast_wpseo_primary_category":null,"rank_math_schema_blogposting":null,"rank_math_schema_videoobject":null,"_oembed_049c719bc4a9f89deaead66a7da9fddc":null,"_oembed_time_049c719bc4a9f89deaead66a7da9fddc":null,"_yoast_wpseo_focuskw":null,"_yoast_wpseo_linkdex":null,"_oembed_27e3473bf8bec795fbeb3a9d38489348":null,"_oembed_c3b0f6959478faf92a1f343d8f96b19e":null,"_trp_translated_slug_en_us":null,"_wp_desired_post_slug":null,"_yoast_wpseo_title":null,"tldname":null,"tldpreis":null,"tldrubrik":null,"tldpolicylink":null,"tldsize":null,"tldregistrierungsdauer":null,"tldtransfer":null,"tldwhoisprivacy":null,"tldregistrarchange":null,"tldregistrantchange":null,"tldwhoisupdate":null,"tldnameserverupdate":null,"tlddeletesofort":null,"tlddeleteexpire":null,"tldumlaute":null,"tldrestore":null,"tldsubcategory":null,"tldbildname":null,"tldbildurl":null,"tldclean":null,"tldcategory":null,"tldpolicy":null,"tldbesonderheiten":null,"tld_bedeutung":null,"_oembed_d167040d816d8f94c072940c8009f5f8":null,"_oembed_b0a0fa59ef14f8870da2c63f2027d064":null,"_oembed_4792fa4dfb2a8f09ab950a73b7f313ba":null,"_oembed_33ceb1fe54a8ab775d9410abf699878d":null,"_oembed_fd7014d14d919b45ec004937c0db9335":null,"_oembed_21a029d076783ec3e8042698c351bd7e":null,"_oembed_be5ea8a0c7b18e658f08cc571a909452":null,"_oembed_a9ca7a298b19f9b48ec5914e010294d2":null,"_oembed_f8db6b27d08a2bb1f920e7647808899a":null,"_oembed_168ebde5096e77d8a89326519af9e022":null,"_oembed_cdb76f1b345b42743edfe25481b6f98f":null,"_oembed_87b0613611ae54e86e8864265404b0a1":null,"_oembed_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_oembed_time_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_tldname":null,"_tldclean":null,"_tldpreis":null,"_tldcategory":null,"_tldsubcategory":null,"_tldpolicy":null,"_tldpolicylink":null,"_tldsize":null,"_tldregistrierungsdauer":null,"_tldtransfer":null,"_tldwhoisprivacy":null,"_tldregistrarchange":null,"_tldregistrantchange":null,"_tldwhoisupdate":null,"_tldnameserverupdate":null,"_tlddeletesofort":null,"_tlddeleteexpire":null,"_tldumlaute":null,"_tldrestore":null,"_tldbildname":null,"_tldbildurl":null,"_tld_bedeutung":null,"_tldbesonderheiten":null,"_oembed_ad96e4112edb9f8ffa35731d4098bc6b":null,"_oembed_8357e2b8a2575c74ed5978f262a10126":null,"_oembed_3d5fea5103dd0d22ec5d6a33eff7f863":null,"_eael_widget_elements":null,"_oembed_0d8a206f09633e3d62b95a15a4dd0487":null,"_oembed_time_0d8a206f09633e3d62b95a15a4dd0487":null,"_aioseo_description":null,"_eb_attr":null,"_eb_data_table":null,"_oembed_819a879e7da16dd629cfd15a97334c8a":null,"_oembed_time_819a879e7da16dd629cfd15a97334c8a":null,"_acf_changed":null,"_wpcode_auto_insert":null,"_edit_last":null,"_edit_lock":null,"_oembed_e7b913c6c84084ed9702cb4feb012ddd":null,"_oembed_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_time_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_03514b67990db061d7c4672de26dc514":null,"_oembed_time_03514b67990db061d7c4672de26dc514":null,"rank_math_news_sitemap_robots":null,"rank_math_robots":null,"_eael_post_view_count":"512","_trp_automatically_translated_slug_ru_ru":null,"_trp_automatically_translated_slug_et":null,"_trp_automatically_translated_slug_lv":null,"_trp_automatically_translated_slug_fr_fr":null,"_trp_automatically_translated_slug_en_us":null,"_wp_old_slug":null,"_trp_automatically_translated_slug_da_dk":null,"_trp_automatically_translated_slug_pl_pl":null,"_trp_automatically_translated_slug_es_es":null,"_trp_automatically_translated_slug_hu_hu":null,"_trp_automatically_translated_slug_fi":null,"_trp_automatically_translated_slug_ja":null,"_trp_automatically_translated_slug_lt_lt":null,"_elementor_edit_mode":null,"_elementor_template_type":null,"_elementor_version":null,"_elementor_pro_version":null,"_wp_page_template":null,"_elementor_page_settings":null,"_elementor_data":null,"_elementor_css":null,"_elementor_conditions":null,"_happyaddons_elements_cache":null,"_oembed_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_time_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_time_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_59808117857ddf57e478a31d79f76e4d":null,"_oembed_time_59808117857ddf57e478a31d79f76e4d":null,"_oembed_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_time_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_81002f7ee3604f645db4ebcfd1912acf":null,"_oembed_time_81002f7ee3604f645db4ebcfd1912acf":null,"_elementor_screenshot":null,"_oembed_7ea3429961cf98fa85da9747683af827":null,"_oembed_time_7ea3429961cf98fa85da9747683af827":null,"_elementor_controls_usage":null,"_elementor_page_assets":[],"_elementor_screenshot_failed":null,"theplus_transient_widgets":null,"_eael_custom_js":null,"_wp_old_date":null,"_trp_automatically_translated_slug_it_it":null,"_trp_automatically_translated_slug_pt_pt":null,"_trp_automatically_translated_slug_zh_cn":null,"_trp_automatically_translated_slug_nl_nl":null,"_trp_automatically_translated_slug_pt_br":null,"_trp_automatically_translated_slug_sv_se":null,"rank_math_analytic_object_id":null,"rank_math_internal_links_processed":"1","_trp_automatically_translated_slug_ro_ro":null,"_trp_automatically_translated_slug_sk_sk":null,"_trp_automatically_translated_slug_bg_bg":null,"_trp_automatically_translated_slug_sl_si":null,"litespeed_vpi_list":null,"litespeed_vpi_list_mobile":null,"rank_math_seo_score":null,"rank_math_contentai_score":null,"ilj_limitincominglinks":null,"ilj_maxincominglinks":null,"ilj_limitoutgoinglinks":null,"ilj_maxoutgoinglinks":null,"ilj_limitlinksperparagraph":null,"ilj_linksperparagraph":null,"ilj_blacklistdefinition":null,"ilj_linkdefinition":null,"_eb_reusable_block_ids":null,"rank_math_focus_keyword":"Mailserver TLS","rank_math_og_content_image":null,"_yoast_wpseo_metadesc":null,"_yoast_wpseo_content_score":null,"_yoast_wpseo_focuskeywords":null,"_yoast_wpseo_keywordsynonyms":null,"_yoast_wpseo_estimated-reading-time-minutes":null,"rank_math_description":null,"surfer_last_post_update":null,"surfer_last_post_update_direction":null,"surfer_keywords":null,"surfer_location":null,"surfer_draft_id":null,"surfer_permalink_hash":null,"surfer_scrape_ready":null,"_thumbnail_id":"18962","footnotes":null,"_links":{"self":[{"href":"https:\/\/webhosting.de\/pl\/wp-json\/wp\/v2\/posts\/18969","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/webhosting.de\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/webhosting.de\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/webhosting.de\/pl\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/webhosting.de\/pl\/wp-json\/wp\/v2\/comments?post=18969"}],"version-history":[{"count":0,"href":"https:\/\/webhosting.de\/pl\/wp-json\/wp\/v2\/posts\/18969\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/webhosting.de\/pl\/wp-json\/wp\/v2\/media\/18962"}],"wp:attachment":[{"href":"https:\/\/webhosting.de\/pl\/wp-json\/wp\/v2\/media?parent=18969"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/webhosting.de\/pl\/wp-json\/wp\/v2\/categories?post=18969"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/webhosting.de\/pl\/wp-json\/wp\/v2\/tags?post=18969"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}