postfix: ausgehende eMails verschlüsselt übertragen

Es ist immer sinnvoll die eMail Kommunikation zu verschlüsseln, gerade wenn man auch mobil unterwegs ist und in wlan Umgebungen eMails abruft oder schreibt. Denn hier lauert meist ein unbekannter, der die Kommunikation im Klartext mitschneidet.

Mit simplen Einstellungen im eMailprogramm oder Smartphone kann man die Verschlüsselte Verbindung aktivieren. Somit ist die Verbindung vom eMailprogramm zum eMailserver verschlüsselt und sicher.

Problematisch sind dann allerdings die Verbindungen zwischen den eMailservern vom Versender und Empfänger. Diese werden in der Regel unverschlüsselt übertragen, da sich sie Server in einer sicheren Umgebung befinden. Es besteht dann aber natürlich die Möglichkeit den eMailverkehr zu kopieren und zu belauschen.

Man sollte seinem Postfix Mailserver also zumindest die Möglichkeit geben die Daten wenn möglich verschlüsselt zu übertragen.

Wenn Sie in Ihrem maillog Einträge finden wie:

certificate verification failed for gmail-smtp-in.l.google.com

Dann ist Ihr Postfix nicht in der Lage das Zertifikat zu prüfen, um die Daten zu verschlüsseln.

Mit einer kleinen Änderungen in der main.cf Datei kann man dieses aktivieren.

Hierzu müssen die ca-certificates auf dem Server installiert sein. Bei redhat bzw. centos ist das im Paket ca-certificates
Die gebündelten Dateien befinden sich hier: /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem bei centos7. Sie sollten über ein eigenes Zertifikat verfügen und dieses dann in der /etc/postfix/postfix_default.pem zusammen mit dem Key und root crt speichern.

Geben Sie nun diese Befehle ein:

postconf -e smtp_tls_security_level=may
postconf -e smtp_tls_cert_file=/etc/postfix/postfix_default.pem
postconf -e smtp_tls_key_file=/etc/postfix/postfix_default.pem
postconf -e smtp_tls_CAfile = /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
postconf -e smtp_tls_mandatory_exclude_ciphers='aNULL, DES, RC4, MD5'

postconf -e smtpd_tls_security_level=may
postconf -e smtpd_tls_key_file=/etc/postfix/postfix_default.pem
postconf -e smtpd_tls_cert_file=/etc/postfix/postfix_default.pem
postconf -e smtpd_tls_mandatory_protocols='!SSLv2, !SSLv3'
postconf -e smtpd_tls_protocols='!SSLv2, !SSLv3'
postconf -e smtpd_tls_mandatory_ciphers=high
postconf -e smtpd_tls_mandatory_exclude_ciphers='aNULL, DES, RC4, MD5'
postconf -e tls_high_cipherlist='EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA'

Ab jetzt verschlüsselt postfix zu anderen Servern, die dieses anbieten.

Achten Sie aber darauf, dass die Optionen:

Diese Option wird von einigen Anbietern in der TV Werbung als sicherer eMailversand beworben. Bitte beachten Sie, dass es sich natürlich nur um eine Transportverschlüsselung handelt, also der Weg zwischen den beiden eMailservern. Die eMail selbst wird wieder im Klartext auf dem Emailserver des Empfängers gespeichert.

Aktuelle Artikel