{"id":18969,"date":"2026-04-12T15:05:59","date_gmt":"2026-04-12T13:05:59","guid":{"rendered":"https:\/\/webhosting.de\/blog-mailserver-tls-konfiguration-cipher-auswahl-optimierung-server\/"},"modified":"2026-04-12T15:05:59","modified_gmt":"2026-04-12T13:05:59","slug":"blogg-mailserver-tls-konfiguration-chiffer-urval-optimering-server","status":"publish","type":"post","link":"https:\/\/webhosting.de\/sv\/blog-mailserver-tls-konfiguration-cipher-auswahl-optimierung-server\/","title":{"rendered":"TLS-konfiguration och val av chiffer f\u00f6r e-postserver: Den ultimata guiden"},"content":{"rendered":"<p>Jag ska visa dig hur du <strong>E-postserver TLS<\/strong> i Postfix och v\u00e4lja starka chiffersviter s\u00e5 att SMTP-anslutningar skyddas p\u00e5 ett konsekvent s\u00e4tt. Baserat p\u00e5 bepr\u00f6vade och testade parametrar f\u00f6r TLS 1.2\/1.3, DANE, MTA-STS och moderna nyckelpar guidar jag dig steg f\u00f6r steg genom konfiguration, testning och inst\u00e4llning s\u00e5 att din <strong>s\u00e4kerhet f\u00f6r e-post<\/strong> grepp rent.<\/p>\n\n<h2>Centrala punkter<\/h2>\n\n<ul>\n  <li><strong>Postfix<\/strong> Konfigurera p\u00e5 ett s\u00e4kert s\u00e4tt: Aktivera TLS, begr\u00e4nsa protokoll, ange loggning.<\/li>\n  <li><strong>Ciffer<\/strong> Prioritera: ECDHE + GCM\/CHACHA20, genomdriva PFS, blockera \u00e4ldre data.<\/li>\n  <li><strong>Certifikat<\/strong> h\u00e5lla rent: RSA+ECDSA, komplett kedja, starka kurvor.<\/li>\n  <li><strong>DANE\/MTA-STS<\/strong> utnyttja: F\u00f6rankra riktlinjer och minska nedgraderingsrisker.<\/li>\n  <li><strong>Tester<\/strong> och \u00f6vervakning: Kontrollera OpenSSL, TLS-skanner, MTA-loggar regelbundet.<\/li>\n<\/ul>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver-konfiguration-4721.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>SMTP via TLS: vad \u00e4r egentligen s\u00e4krat?<\/h2>\n\n<p>Jag s\u00e4krar SMTP med <strong>STARTTLS<\/strong>, s\u00e5 att e-posttransporten inte sker i klartext. Opportunistisk TLS via <strong>smtpd_tls_security_level = may<\/strong> s\u00e4kerst\u00e4ller att inkommande anslutningar anv\u00e4nder kryptering s\u00e5 snart fj\u00e4rrstationen erbjuder det. F\u00f6r utg\u00e5ende leveranser anv\u00e4nder jag <strong>smtp_tls_security_level = dane<\/strong> DNSSEC-st\u00f6dda policykontroller f\u00f6r att g\u00f6ra nedgraderingsattacker sv\u00e5rare. Utan TLS kan e-postmeddelanden l\u00e4sas och manipuleras under transporten, vilket \u00e4r s\u00e4rskilt farligt f\u00f6r formul\u00e4r, best\u00e4llningar eller kontodata. Med TLS aktivt hela tiden minskar jag avsev\u00e4rt risken f\u00f6r avlyssning och MITM, och jag uppn\u00e5r b\u00e4ttre leveranshastigheter eftersom stora leverant\u00f6rer v\u00e4rderar s\u00e4kra anslutningar positivt.<\/p>\n\n<h2>Nycklar, certifikat och protokoll i Postfix<\/h2>\n\n<p>Jag har tv\u00e5 certifikat redo: ett <strong>RSA<\/strong>-certifikat och ett ECDSA-certifikat s\u00e5 att gamla och nya MTA:er \u00e4r optimalt anslutna. Jag st\u00e4ller in s\u00f6kv\u00e4garna i Postfix tydligt, till exempel <strong>smtpd_tls_cert_fil<\/strong> f\u00f6r RSA och <strong>smtpd_tls_eccert_fil<\/strong> f\u00f6r ECDSA, var och en med en matchande nyckel. F\u00f6r ren autentisering \u00e4r jag uppm\u00e4rksam p\u00e5 hela kedjan, ett CN\/SAN som matchar v\u00e4rden exakt och en kurva som <strong>secp384r1<\/strong> f\u00f6r ECDSA-nyckeln. Jag avaktiverar strikt \u00e4ldre protokoll, dvs SSLv2 och SSLv3, f\u00f6r att f\u00f6rhindra p\u00e5tvingade nedgraderingar. Om du \u00f6verv\u00e4ger vilken typ av certifikat du ska anv\u00e4nda kan en snabb titt p\u00e5 <a href=\"https:\/\/webhosting.de\/sv\/tls-certifikat-dv-ov-ev-hosting-saekerhet-jaemfoerelse\/\">DV, OV eller EV<\/a>, s\u00e5 att du v\u00e4ljer r\u00e4tt niv\u00e5 av f\u00f6rtroende.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/tls_configuration_guide_4928.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Val av chiffer: Prioriteringar f\u00f6r TLS 1.2\/1.3<\/h2>\n\n<p>Jag prioriterar chiffersviter med <strong>PFS<\/strong>, dvs. ECDHE f\u00f6re DHE, och anv\u00e4nd GCM eller CHACHA20-POLY1305. Under TLS 1.3 avlastar stacken dig fr\u00e5n m\u00e5nga gamla uppgifter, medan TLS 1.2 fortfarande kr\u00e4ver en tydlig lista. Os\u00e4kra eller svaga sviter som t.ex. <strong>RC4<\/strong>, Jag tar bort 3DES, CAMELLIA, aNULL, eNULL. F\u00f6r Postfix anv\u00e4nder jag <strong>smtpd_tls_ciphers = h\u00f6g<\/strong> och en restriktiv <em>tls_high_cipherlist<\/em>, s\u00e5 att inga f\u00f6r\u00e5ldrade algoritmer slinker igenom. Om du g\u00e5r djupare, s\u00e5 \u00e4r <a href=\"https:\/\/webhosting.de\/sv\/tls-chiffer-sviter-hosting-saekerhet-serverboost\/\">Cipher Suites Guide<\/a> en l\u00e4ttf\u00f6rst\u00e5elig kategorisering utan ballast.<\/p>\n\n<table>\n  <thead>\n    <tr>\n      <th>TLS-version<\/th>\n      <th>Favoritchiffersviter<\/th>\n      <th>Status<\/th>\n      <th>Ledtr\u00e5d<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr>\n      <td><strong>TLS 1.3<\/strong><\/td>\n      <td>TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256<\/td>\n      <td>aktiv<\/td>\n      <td>Urvalet \u00e4r fast i protokollet, inga fler \u00e4ldre fr\u00e5gor.<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>TLS 1.2<\/strong><\/td>\n      <td>ECDHE-ECDSA-AES256-GCM-SHA384, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-CHACHA20-POLY1305<\/td>\n      <td>aktiv<\/td>\n      <td>Prioritera PFS, f\u00f6redra GCM\/CHACHA.<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>F\u00f6r\u00e5ldrad<\/strong><\/td>\n      <td>RC4, 3DES, CAMELLIA, AES128-SHA, aNULL\/eNULL<\/td>\n      <td>l\u00e5st<\/td>\n      <td>Avaktivera helt av s\u00e4kerhetssk\u00e4l.<\/td>\n    <\/tr>\n  <\/tbody>\n<\/table>\n\n<h2>Postfix: konkreta parametrar f\u00f6r main.cf<\/h2>\n\n<p>Jag st\u00e4ller in en tydlig konfiguration s\u00e5 att MTA talar s\u00e4kert b\u00e5de inkommande och utg\u00e5ende. F\u00f6r efem\u00e4ra ECDH anv\u00e4nder jag <strong>smtpd_tls_eecdh_grade<\/strong> Jag st\u00e4ller in kurvans kvalitet och avaktiverar komprimering f\u00f6r att undvika CRIME-liknande attacker. En stark DH-fil med 4096 bitar f\u00f6rhindrar svaga DHE-f\u00f6rhandlingar. Jag l\u00e4gger h\u00e5rda restriktioner p\u00e5 protokoll och genomdriver h\u00f6g chifferkvalitet, med TLS 1.3 som favorit. I b\u00f6rjan hj\u00e4lper en m\u00e5ttlig loggniv\u00e5 mig att kontrollera handskakningar utan att \u00f6versv\u00e4mma journalen.<\/p>\n\n<pre><code># Aktivering och policy\nsmtpd_tls_security_level = may\nsmtp_tls_security_level = dane\n\n# Certifikat (exempel p\u00e5 s\u00f6kv\u00e4gar)\nsmtpd_tls_cert_file = \/etc\/ssl\/certs\/mail.example.de.cer\nsmtpd_tls_key_file = \/etc\/ssl\/private\/mail.example.de.key\nsmtpd_tls_eccert_file = \/etc\/ssl\/certs\/mail.example.de_ecc.cer\nsmtpd_tls_eckey_file = \/etc\/ssl\/private\/mail.example.de_ecc.key\n\n#-protokoll och chiffer\nsmtpd_tls_protocols = !SSLv2, !SSLv3\nsmtpd_tls_mandatory_protocols = !SSLv2, !SSLv3\nsmtpd_tls_ciphers = h\u00f6g\ntls_high_cipherlist = !aNULL:!eNULL:!RC4:!3DES:!CAMELLIA:HIGH:@STRENGTH\ntls_ssl_options = NO_COMPRESSION\nsmtpd_tls_eecdh_grade = ultra\n\n# DH-parametrar\nsmtpd_tls_dh1024_param_file = \/etc\/postfix\/dh_4096.pem\n\n# DNSSEC\/DANE (om tillg\u00e4ngligt)\nsmtp_dns_support_level = dnssec\n\n# Loggning\nsmtpd_tls_loglevel = 1\n<\/code><\/pre>\n\n<p>Jag h\u00e5ller certifikatkedjan komplett, var uppm\u00e4rksam p\u00e5 korrekta r\u00e4ttigheter f\u00f6r <strong>privat<\/strong> nyckelfiler och kontrollera loggarna efter omladdningen. Om TLS 1.2 kr\u00e4vs f\u00f6r \u00e4ldre partners h\u00e5ller jag mig strikt till GCM\/CHACHA och blockerar allt annat. F\u00f6r TLS 1.3 f\u00f6rlitar jag mig p\u00e5 stackens standarder och undviker specialv\u00e4gar som g\u00f6r underh\u00e5llet sv\u00e5rare. OCSP-h\u00e4ftning spelar bara en roll med SMTP om en uppstr\u00f6ms proxy tillhandah\u00e5ller det, s\u00e5 jag kontrollerar bara detta f\u00f6r motsvarande inst\u00e4llningar. Efter varje \u00e4ndring validerar jag med OpenSSL f\u00f6r att tidigt uppt\u00e4cka biverkningar och f\u00f6r att s\u00e4kerst\u00e4lla att <strong>Kryptering av e-post<\/strong> konsekvent.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver-tls-guide-cipher-tips-6954.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Transportautenticitet med DANE, MTA-STS, SPF, DKIM och DMARC<\/h2>\n\n<p>Jag kombinerar TLS med <strong>DANE<\/strong>, genom att publicera signerade TLSA-poster under DNSSEC. Dessutom st\u00e4ller jag in MTA-STS s\u00e5 att fj\u00e4rranslutna peers vet att min v\u00e4rd kr\u00e4ver TLS och vilken MX de ska f\u00f6lja. F\u00f6r identitetsbindning signerar jag utg\u00e5ende e-postmeddelanden med <strong>DKIM<\/strong> och s\u00e4ker dom\u00e4nleverans via SPF-regler. Slutligen definierar DMARC hur mottagarna ska hantera avvikelser, vilket g\u00f6r spoofing mycket sv\u00e5rare. Dessa komponenter fungerar tillsammans: TLS skyddar transporten, medan autentisering st\u00e4rker avs\u00e4ndaren och m\u00e4rkbart \u00f6kar leveranshastigheten.<\/p>\n\n<p>Om prestandan \u00e4r en flaskhals optimerar jag \u00e5terupptagandet av sessioner, h\u00e5rdvarufunktioner och sj\u00e4lva handskakningen. Du kan komma ig\u00e5ng med praktiska knep med <a href=\"https:\/\/webhosting.de\/sv\/optimera-tls-handskakningsprestanda-med-quicboost\/\">Snabbare TLS-handskakning<\/a>, f\u00f6r att minska f\u00f6rdr\u00f6jningen vid uppr\u00e4ttandet av en anslutning. Viktigt: Jag h\u00e5ller balansen mellan val av chiffer och \u00e5terupptagande, eftersom svaga kompromisser inte l\u00f6nar sig s\u00e4kerhetsm\u00e4ssigt. Snabb TLS-f\u00f6rhandling ger betydande besparingar, s\u00e4rskilt med h\u00f6ga postvolymer. P\u00e5 det h\u00e4r s\u00e4ttet <strong>Genomstr\u00f6mning<\/strong> och s\u00e4kerhet i balans.<\/p>\n\n<h2>Testning, \u00f6vervakning och revisioner<\/h2>\n\n<p>Jag kontrollerar handskakningar lokalt med <strong>openssl<\/strong> och kontrollera protokollversion, chiffer och certifikatkedja. Kommandot <em>openssl s_client -connect mail.example.de:25 -starttls smtp<\/em> visar mig i realtid vad fj\u00e4rrservern f\u00f6rhandlar om. Efter konfigurations\u00e4ndringar anv\u00e4nder jag <em>postfix-kontroll<\/em> och titta s\u00e4rskilt p\u00e5 <strong>smtpd_tls_logle-niv\u00e5<\/strong>, f\u00f6r att isolera felm\u00f6nster. Externa TLS-skannrar hj\u00e4lper till att kategorisera den offentliga synligheten, s\u00e4rskilt efter certifikatbyten. En regelbunden revisionscykel skyddar mot smygande f\u00f6rs\u00e4mringar, t.ex. om en biblioteks\u00e4ndring p\u00e5verkar chifferprioriteringarna.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver_tls_guide_nacht_4523.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Frekventa felkonfigurationer och snabba l\u00f6sningar<\/h2>\n\n<p>Jag ser ofta f\u00f6r\u00e5ldrade chiffer som <strong>AES128-SHA<\/strong>, som fortfarande \u00e4r aktiva och f\u00f6rhindrar PFS. En strikt chifferstr\u00e4ng och den tydliga blockeringen av LOW\/MD5\/RC4\/3DES hj\u00e4lper till h\u00e4r. Andra m\u00f6nstret: mellanliggande certifikat saknas, vilket hindrar fj\u00e4rrstationer fr\u00e5n att verifiera kedjan; jag l\u00e4gger till buntfilen och testar igen. P\u00e5 apparater som en Synology st\u00e4ller jag in TLS-profilen till modern och tar bort \u00e4ldre alternativ s\u00e5 att SMTP-servern talar modernt. Med Microsoft Exchange kontrollerar jag specifikt TLS 1.2\/1.3-policyer, certifikattilldelning per anslutning och eventuella chiffer\u00f6verskrivningar i v\u00e4rdkonfigurationen s\u00e5 att <strong>Handskakning<\/strong>-urvalet \u00e4r r\u00e4tt.<\/p>\n\n<h2>F\u00f6rhandsgranskning: TLS 1.3, 0-RTT och postkvantum<\/h2>\n\n<p>Jag f\u00f6redrar TLS 1.3 eftersom handskakningen \u00e4r kortare och gamla alternativ utel\u00e4mnas, vilket minskar attackytorna. Valet av <strong>chiffer<\/strong> \u00e4r klart begr\u00e4nsad d\u00e4r, och moderna stackar ger bra standardv\u00e4rden. Jag anv\u00e4nder inte 0-RTT i SMTP-sammanhang, eftersom replay-attacker medf\u00f6r on\u00f6diga risker h\u00e4r. I framtiden h\u00e5ller jag ett \u00f6ga p\u00e5 hybrida postkvantumprocedurer, som skulle kunna hitta sin v\u00e4g in i e-postmilj\u00f6n s\u00e5 snart standardisering och st\u00f6d mognar. Det \u00e4r fortfarande viktigt att jag s\u00e4tter upp policyer och \u00f6vervakning p\u00e5 ett s\u00e5dant s\u00e4tt att nya procedurer kan integreras senare utan st\u00f6rningar.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver_tls_guide_7492.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Prestanda och leveranshastighet i en \u00f6verblick<\/h2>\n\n<p>Jag m\u00e4ter <strong>F\u00f6rdr\u00f6jning<\/strong> av TLS-handskakningen och optimera cacheminnet f\u00f6r att m\u00f6jligg\u00f6ra \u00e5teranv\u00e4ndning. \u00c5terupptagande av sessioner (biljetter\/ID:n) minskar datorbelastningen och snabbar upp \u00e5terkommande anslutningar mellan MTA:er. F\u00f6r \u00e5terkallande av certifikat f\u00f6rlitar jag mig p\u00e5 stapelbar information hos proxyn uppstr\u00f6ms, om s\u00e5dan finns, f\u00f6r att spara ytterligare \u00e5tkomster. Stora mottagare v\u00e4rderar s\u00e4kra transporter positivt, vilket \u00f6kar leveranshastigheten, medan os\u00e4kra v\u00e4gar \u00f6kar risken f\u00f6r spam och avvisande. Med en tydlig TLS-policy, stabila DNS-poster och en ren signaturkedja skapar jag en p\u00e5litlig grund f\u00f6r <strong>Leveransf\u00f6rm\u00e5ga<\/strong>.<\/p>\n\n<h2>Mitt installationsschema<\/h2>\n\n<p>Jag b\u00f6rjar med att skaffa certifikatet fr\u00e5n en p\u00e5litlig CA, genererar ECDSA och RSA och lagrar b\u00e5da p\u00e5 ett rent s\u00e4tt p\u00e5 v\u00e4rden. Sedan anpassar jag <strong>main.cf<\/strong> med TLS-parametrarna, st\u00e4lla in starka chiffer och avaktivera gamla protokoll. En ny DH-fil med 4096 bitar l\u00e4ggs till, f\u00f6ljt av en omladdning och de f\u00f6rsta OpenSSL-kontrollerna. Sedan konfigurerar jag DANE, l\u00e4gger till MTA-STS och verifierar SPF\/DKIM\/DMARC f\u00f6r giltighet. Slutligen k\u00f6r jag tester mot externa m\u00e5l, kontrollerar loggar under drift och schemal\u00e4gger regelbundna revisioner s\u00e5 att <strong>Konfiguration<\/strong> f\u00f6rblir s\u00e4ker p\u00e5 l\u00e5ng sikt.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/tls-einstellungen-leitfaden-8421.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Saknade moduler: Submission, SMTPS och SNI<\/h2>\n\n<p>Jag s\u00e4krar inte bara port 25, utan \u00e4ven submission (587) och eventuellt SMTPS (465). F\u00f6r submission till\u00e4mpar jag kryptering och autentisering s\u00e5 att anv\u00e4ndarl\u00f6senord aldrig skickas i klartext. I <em>master.cf<\/em> Jag aktiverar tj\u00e4nsterna och st\u00e4ller in specifika \u00e5sidos\u00e4ttningar:<\/p>\n\n<pre><code># inl\u00e4mning (port 587) med STARTTLS och auth-krav\ninl\u00e4mning inet n - y - - smtpd\n  -o syslog_name=postfix\/submission\n  -o smtpd_tls_security_level=encrypt\n  -o smtpd_tls_auth_only=yes\n  -o smtpd_sasl_auth_enable=yes\n  -o milter_macro_daemon_namn=ORIGINATING\n\n# SMTPS (port 465) som omslagsl\u00e4ge, om s\u00e5 kr\u00e4vs\nsmtps inet n - y - - smtpd\n  -o syslog_name=postfix\/smtps\n  -o smtpd_tls_wrappermode=yes\n  -o smtpd_sasl_auth_enable=yes\n  -o milter_macro_daemon_namn=ORIGINATING\n<\/code><\/pre>\n\n<p>Om jag betj\u00e4nar flera e-postdom\u00e4ner p\u00e5 en host med mina egna certifikat anv\u00e4nder jag <strong>SNI<\/strong>. Jag anv\u00e4nder en SNI-karta f\u00f6r att tilldela r\u00e4tt certifikats\u00f6kv\u00e4g f\u00f6r varje m\u00e5lv\u00e4rd och ser till att MUA-klienter ocks\u00e5 ser r\u00e4tt certifikat. Det \u00e4r s\u00e5 jag s\u00e4kerst\u00e4ller klientseparation med konsekvent TLS-identitet.<\/p>\n\n<h2>Policyer f\u00f6r enskilda dom\u00e4ner: finkornig kontroll<\/h2>\n\n<p>Ut\u00f6ver den globala policyn hanterar jag \u00e4ven <strong>smtp_tls_policy_maps<\/strong> Undantag och \u00e5tstramning per mottagardom\u00e4n. Detta g\u00f6r att jag gradvis kan migrera \u00e4ldre partners eller till\u00e4mpa s\u00e4rskilt strikta krav f\u00f6r k\u00e4nsliga m\u00e5l.<\/p>\n\n<pre><code># huvud.cf\nsmtp_tls_policy_maps = hash:\/etc\/postfix\/tls_policy\n\n# \/etc\/postfix\/tls_policy (exempel p\u00e5 poster)\nexempel.org endast dansk\nlegacy.example.net f\u00e5r\nsecure.example.com secure\n<\/code><\/pre>\n\n<p><em>dane-only<\/em> verkst\u00e4ller DANE-skydd utan CA-beroende, <em>s\u00e4ker<\/em> kr\u00e4ver en giltig CA-kedja och v\u00e4grar leverans i klartext, <em>kan<\/em> f\u00f6rblir opportunistisk. Efter \u00e4ndringar bygger jag kartan med <em>postmapp<\/em> och ladda om Postfix.<\/p>\n\n<h2>DANE och MTA-STS: konkret genomf\u00f6rande<\/h2>\n\n<p>F\u00f6r <strong>DANE<\/strong> Jag publicerar TLSA-poster under DNSSEC. Jag f\u00f6redrar att anv\u00e4nda DANE-EE (3 1 1) eftersom det till\u00e5ter pinning till den publika nyckeln och underl\u00e4ttar certifikat\u00e4ndringar med samma nyckel. Ett exempel p\u00e5 en TLSA-post under <em>_25._tcp.mail.example.de<\/em> ser ut s\u00e5 h\u00e4r:<\/p>\n\n<pre><code>_25._tcp.mail.example.de. IN TLSA 3 1 1\n<\/code><\/pre>\n\n<p>Jag genererar hashen fr\u00e5n ECDSA- eller RSA-certifikatet och ser till att rotera det innan det g\u00e5r ut. Det \u00e4r viktigt att DNS-zonen \u00e4r signerad och att kedjan av delegeringar valideras utan luckor.<\/p>\n\n<p>F\u00f6r <strong>MTA-STS<\/strong> Jag hostar policyfilen via HTTPS och l\u00e4gger till TXT DNS-post. P\u00e5 s\u00e5 s\u00e4tt anger jag att fj\u00e4rranslutna peers talar TLS och endast accepteras med en definierad MX. En minimalistisk policyfil:<\/p>\n\n<pre><code>version: STSv1\nl\u00e4ge: genomdriva\nmx: mail.example.de\nmax_age: 604800\n<\/code><\/pre>\n\n<p>En TXT-post l\u00e4ggs till i DNS under <em>_mta-sts.example.de<\/em> med den aktuella versionen. Eventuellt st\u00e4ller jag in <em>TLS-RPT<\/em> via TXT under <em>_smtp._tls.example.de<\/em> f\u00f6r att f\u00e5 rapporter om policy\u00f6vertr\u00e4delser. Den h\u00e4r telemetrin hj\u00e4lper mig att uppt\u00e4cka fel, nedgraderingar och felaktiga certifikat p\u00e5 ett tidigt stadium.<\/p>\n\n<h2>Strama upp protokoll, specificera chiffer<\/h2>\n\n<p>Jag sk\u00e4rper protokollgr\u00e4nserna och genomdriver serverpreferenser. TLS 1.0\/1.1 \u00e4r \u00f6verfl\u00f6diga idag; jag till\u00e5ter endast TLS 1.2 och 1.3 p\u00e5 djupet och p\u00e5 utg\u00e5ende basis. F\u00f6r TLS 1.2 definierar jag en explicit positivlista f\u00f6r att utesluta blandade lager av gamla chiffer:<\/p>\n\n<pre><code># Ytterligare h\u00e4rdning (main.cf)\nsmtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\n\n# Explicit TLS 1.2 chifferlista (endast PFS + AEAD)\ntls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:!aNULL:!eNULL:!MD5:!RC4:!3DES:!CAMELLIA\n\n# Anv\u00e4nd serverpreferens\ntls_preempt_cipherlist = ja\n<\/code><\/pre>\n\n<p>Jag ser till att ECDHE f\u00f6redras och att DHE endast \u00e4r en reservl\u00f6sning. Jag h\u00e5ller min DH-fil uppdaterad; under TLS 1.3 spelar den ingen roll, men den \u00e4r fortfarande anv\u00e4ndbar f\u00f6r s\u00e4llsynta DHE-\u00e5tg\u00e4rder.<\/p>\n\n<h2>\u00c5terupptagande av sessioner och cacheminnen<\/h2>\n\n<p>F\u00f6r att snabba upp processen aktiverar jag sessionscacher f\u00f6r klienten och servern f\u00f6r att g\u00f6ra \u00e5teranslutningar mer gynnsamma. CPU-belastning och latens minskar m\u00e4rkbart, s\u00e4rskilt med h\u00f6g postgenomstr\u00f6mning:<\/p>\n\n<pre><code>#-sessionscache (main.cf)\nsmtpd_tls_session_cache_database = btree:\/var\/lib\/postfix\/smtpd_scache\nsmtp_tls_session_cache_database = btree:\/var\/lib\/postfix\/smtp_scache\nsmtp_tls_connection_reuse = ja\n<\/code><\/pre>\n\n<p>Jag \u00f6vervakar tr\u00e4fffrekvensen i loggarna och ser till att inga \u00e4r f\u00f6r korta. <em>biljett_livsl\u00e4ngd<\/em> i TLS-biblioteket f\u00f6r att sakta ner \u00e5terupptagandet. Viktigt: \u00c5terupptagandet f\u00e5r inte f\u00f6rsvaga policyn; jag h\u00e5ller mig till samma chifferkrav.<\/p>\n\n<h2>Certifierat f\u00f6retag: Rotation och kedjeunderh\u00e5ll<\/h2>\n\n<p>Jag automatiserar f\u00f6rnyelsen och omladdningen av MTA s\u00e5 att inga utg\u00e5ngna certifikat hamnar i drift. Efter varje f\u00f6rnyelse kontrollerar jag att blad- och mellanliggande certifikat \u00e4r kompletta i paketet. Vid dubbel ECDSA\/RSA-drift ser jag till att b\u00e5da paren roterar innan en mass\u00e4ndring orsakar problem f\u00f6r kunderna. Jag testar SNI-s\u00f6kv\u00e4gen och inl\u00e4mningen separat eftersom MUA:er kan visa andra felm\u00f6nster \u00e4n MTA:er.<\/p>\n\n<h2>F\u00f6rdjupad loggning och diagnostik<\/h2>\n\n<p>Jag \u00f6kar tillf\u00e4lligt loggdjupet n\u00e4r ett problem uppst\u00e5r och anv\u00e4nder ombordverktyg f\u00f6r korskontroller:<\/p>\n\n<pre><code># riktad loggning (main.cf)\nsmtp_tls_loglevel = 1\nsmtp_tls_note_starttls_offer = ja\n<\/code><\/pre>\n\n<p>Med <em>posttls-finger m\u00e5l.exempel.com<\/em> Jag kontrollerar vilken policy en fj\u00e4rr-MTA f\u00f6rv\u00e4ntar sig och vilka chiffer\/protokoll som f\u00f6rhandlas. Jag anv\u00e4nder <em>postconf -n | grep tls<\/em>, f\u00f6r att bara se explicit inst\u00e4llda TLS-parametrar; jag kan hitta avvikelser fr\u00e5n standardv\u00e4rden snabbare p\u00e5 det h\u00e4r s\u00e4ttet. I loggarna s\u00f6ker jag efter termer som <em>ingen delad kryptering<\/em>, <em>certifikatverifiering misslyckades<\/em> eller . <em>protokollversion<\/em>, som direkt indikerar chiffermissmatchning, kedjeproblem eller protokollgr\u00e4nser som \u00e4r f\u00f6r strikta\/f\u00f6r slappa.<\/p>\n\n<h2>Hantera kompatibilitet utan att offra s\u00e4kerheten<\/h2>\n\n<p>Jag planerar \u00f6verg\u00e5ngar medvetet: Jag h\u00e5ller mig uppdaterad med <em>kan<\/em>, f\u00f6r att undvika att f\u00f6rlora e-post fr\u00e5n \u00e4ldre servrar \u00f6ver hela linjen, men loggar leveranser i klartext. Utg\u00e5ende f\u00f6rblir jag strikt (DANE\/MTA-STS\/secure) och anv\u00e4nder <em>smtp_tls_policy_maps<\/em> f\u00f6r enskilda fall. Om enskilda partners endast kan hantera TLS 1.2 med AES-GCM \u00e4r detta acceptabelt; jag hanterar allt under detta via \u00f6verenskomna undantag med en begr\u00e4nsad k\u00f6rtid, dokumenterar dem och inkluderar dem i migrationsplaneringen. Detta h\u00e5ller den \u00f6vergripande niv\u00e5n h\u00f6g utan att blockera aff\u00e4rsverksamheten.<\/p>\n\n<h2>En \u00f6verblick \u00f6ver systemets TLS-standardinst\u00e4llningar<\/h2>\n\n<p>Observera att Postfix anv\u00e4nder systemets TLS-bibliotek. Uppdateringar av OpenSSL\/LibreSSL kan \u00e4ndra chifferprioriteringar och TLS 1.3-beteende. Efter systemuppdateringar kontrollerar jag d\u00e4rf\u00f6r slumpm\u00e4ssigt handskakningar och j\u00e4mf\u00f6r utdata fr\u00e5n <em>postconf -n<\/em> med mina m\u00e5lv\u00e4rden. En upps\u00e4ttning <em>kompatibilitet_niv\u00e5<\/em> i Postfix hj\u00e4lper till att uppr\u00e4tth\u00e5lla stabila standardv\u00e4rden, men jag litar inte blint p\u00e5 det och dokumenterar uttryckliga avvikelser i main.cf\/master.cf.<\/p>\n\n<h2>Kort sammanfattning f\u00f6r administrat\u00f6rer<\/h2>\n\n<p>Jag vill understryka att starka chiffer med PFS, rena certifikat och tydliga policyer \u00e4r avg\u00f6rande f\u00f6r att <strong>SMTP<\/strong> avg\u00f6rande. TLS 1.3 befriar dig fr\u00e5n \u00e4ldre problem, medan TLS 1.2 kr\u00e4ver en disciplinerad chifferlista. DANE och MTA-STS g\u00f6r transportv\u00e4gen h\u00e5rdare, SPF\/DKIM\/DMARC s\u00e4krar identitet och rapportering. Regelbundna tester och logganalyser visar tidigt om en f\u00f6r\u00e4ndring har o\u00f6nskade bieffekter. Med den h\u00e4r guiden kan du konfigurera din e-postserver s\u00e5 att den blir s\u00e4ker, v\u00e4lfungerande och framtidss\u00e4ker - utan on\u00f6diga <strong>Risker<\/strong>.<\/p>","protected":false},"excerpt":{"rendered":"<p>TLS-konfiguration och val av chiffer f\u00f6r e-postserver: smtp tls-konfiguration f\u00f6r optimal e-posts\u00e4kerhet och hosting av e-postkryptering. Komplett expertguide.<\/p>","protected":false},"author":1,"featured_media":18962,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_crdt_document":"","inline_featured_image":false,"footnotes":""},"categories":[708],"tags":[],"class_list":["post-18969","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-email"],"acf":[],"_wp_attached_file":null,"_wp_attachment_metadata":null,"litespeed-optimize-size":null,"litespeed-optimize-set":null,"_elementor_source_image_hash":null,"_wp_attachment_image_alt":null,"stockpack_author_name":null,"stockpack_author_url":null,"stockpack_provider":null,"stockpack_image_url":null,"stockpack_license":null,"stockpack_license_url":null,"stockpack_modification":null,"color":null,"original_id":null,"original_url":null,"original_link":null,"unsplash_location":null,"unsplash_sponsor":null,"unsplash_exif":null,"unsplash_attachment_metadata":null,"_elementor_is_screenshot":null,"surfer_file_name":null,"surfer_file_original_url":null,"envato_tk_source_kit":null,"envato_tk_source_index":null,"envato_tk_manifest":null,"envato_tk_folder_name":null,"envato_tk_builder":null,"envato_elements_download_event":null,"_menu_item_type":null,"_menu_item_menu_item_parent":null,"_menu_item_object_id":null,"_menu_item_object":null,"_menu_item_target":null,"_menu_item_classes":null,"_menu_item_xfn":null,"_menu_item_url":null,"_trp_menu_languages":null,"rank_math_primary_category":null,"rank_math_title":null,"inline_featured_image":null,"_yoast_wpseo_primary_category":null,"rank_math_schema_blogposting":null,"rank_math_schema_videoobject":null,"_oembed_049c719bc4a9f89deaead66a7da9fddc":null,"_oembed_time_049c719bc4a9f89deaead66a7da9fddc":null,"_yoast_wpseo_focuskw":null,"_yoast_wpseo_linkdex":null,"_oembed_27e3473bf8bec795fbeb3a9d38489348":null,"_oembed_c3b0f6959478faf92a1f343d8f96b19e":null,"_trp_translated_slug_en_us":null,"_wp_desired_post_slug":null,"_yoast_wpseo_title":null,"tldname":null,"tldpreis":null,"tldrubrik":null,"tldpolicylink":null,"tldsize":null,"tldregistrierungsdauer":null,"tldtransfer":null,"tldwhoisprivacy":null,"tldregistrarchange":null,"tldregistrantchange":null,"tldwhoisupdate":null,"tldnameserverupdate":null,"tlddeletesofort":null,"tlddeleteexpire":null,"tldumlaute":null,"tldrestore":null,"tldsubcategory":null,"tldbildname":null,"tldbildurl":null,"tldclean":null,"tldcategory":null,"tldpolicy":null,"tldbesonderheiten":null,"tld_bedeutung":null,"_oembed_d167040d816d8f94c072940c8009f5f8":null,"_oembed_b0a0fa59ef14f8870da2c63f2027d064":null,"_oembed_4792fa4dfb2a8f09ab950a73b7f313ba":null,"_oembed_33ceb1fe54a8ab775d9410abf699878d":null,"_oembed_fd7014d14d919b45ec004937c0db9335":null,"_oembed_21a029d076783ec3e8042698c351bd7e":null,"_oembed_be5ea8a0c7b18e658f08cc571a909452":null,"_oembed_a9ca7a298b19f9b48ec5914e010294d2":null,"_oembed_f8db6b27d08a2bb1f920e7647808899a":null,"_oembed_168ebde5096e77d8a89326519af9e022":null,"_oembed_cdb76f1b345b42743edfe25481b6f98f":null,"_oembed_87b0613611ae54e86e8864265404b0a1":null,"_oembed_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_oembed_time_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_tldname":null,"_tldclean":null,"_tldpreis":null,"_tldcategory":null,"_tldsubcategory":null,"_tldpolicy":null,"_tldpolicylink":null,"_tldsize":null,"_tldregistrierungsdauer":null,"_tldtransfer":null,"_tldwhoisprivacy":null,"_tldregistrarchange":null,"_tldregistrantchange":null,"_tldwhoisupdate":null,"_tldnameserverupdate":null,"_tlddeletesofort":null,"_tlddeleteexpire":null,"_tldumlaute":null,"_tldrestore":null,"_tldbildname":null,"_tldbildurl":null,"_tld_bedeutung":null,"_tldbesonderheiten":null,"_oembed_ad96e4112edb9f8ffa35731d4098bc6b":null,"_oembed_8357e2b8a2575c74ed5978f262a10126":null,"_oembed_3d5fea5103dd0d22ec5d6a33eff7f863":null,"_eael_widget_elements":null,"_oembed_0d8a206f09633e3d62b95a15a4dd0487":null,"_oembed_time_0d8a206f09633e3d62b95a15a4dd0487":null,"_aioseo_description":null,"_eb_attr":null,"_eb_data_table":null,"_oembed_819a879e7da16dd629cfd15a97334c8a":null,"_oembed_time_819a879e7da16dd629cfd15a97334c8a":null,"_acf_changed":null,"_wpcode_auto_insert":null,"_edit_last":null,"_edit_lock":null,"_oembed_e7b913c6c84084ed9702cb4feb012ddd":null,"_oembed_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_time_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_03514b67990db061d7c4672de26dc514":null,"_oembed_time_03514b67990db061d7c4672de26dc514":null,"rank_math_news_sitemap_robots":null,"rank_math_robots":null,"_eael_post_view_count":"512","_trp_automatically_translated_slug_ru_ru":null,"_trp_automatically_translated_slug_et":null,"_trp_automatically_translated_slug_lv":null,"_trp_automatically_translated_slug_fr_fr":null,"_trp_automatically_translated_slug_en_us":null,"_wp_old_slug":null,"_trp_automatically_translated_slug_da_dk":null,"_trp_automatically_translated_slug_pl_pl":null,"_trp_automatically_translated_slug_es_es":null,"_trp_automatically_translated_slug_hu_hu":null,"_trp_automatically_translated_slug_fi":null,"_trp_automatically_translated_slug_ja":null,"_trp_automatically_translated_slug_lt_lt":null,"_elementor_edit_mode":null,"_elementor_template_type":null,"_elementor_version":null,"_elementor_pro_version":null,"_wp_page_template":null,"_elementor_page_settings":null,"_elementor_data":null,"_elementor_css":null,"_elementor_conditions":null,"_happyaddons_elements_cache":null,"_oembed_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_time_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_time_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_59808117857ddf57e478a31d79f76e4d":null,"_oembed_time_59808117857ddf57e478a31d79f76e4d":null,"_oembed_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_time_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_81002f7ee3604f645db4ebcfd1912acf":null,"_oembed_time_81002f7ee3604f645db4ebcfd1912acf":null,"_elementor_screenshot":null,"_oembed_7ea3429961cf98fa85da9747683af827":null,"_oembed_time_7ea3429961cf98fa85da9747683af827":null,"_elementor_controls_usage":null,"_elementor_page_assets":[],"_elementor_screenshot_failed":null,"theplus_transient_widgets":null,"_eael_custom_js":null,"_wp_old_date":null,"_trp_automatically_translated_slug_it_it":null,"_trp_automatically_translated_slug_pt_pt":null,"_trp_automatically_translated_slug_zh_cn":null,"_trp_automatically_translated_slug_nl_nl":null,"_trp_automatically_translated_slug_pt_br":null,"_trp_automatically_translated_slug_sv_se":null,"rank_math_analytic_object_id":null,"rank_math_internal_links_processed":"1","_trp_automatically_translated_slug_ro_ro":null,"_trp_automatically_translated_slug_sk_sk":null,"_trp_automatically_translated_slug_bg_bg":null,"_trp_automatically_translated_slug_sl_si":null,"litespeed_vpi_list":null,"litespeed_vpi_list_mobile":null,"rank_math_seo_score":null,"rank_math_contentai_score":null,"ilj_limitincominglinks":null,"ilj_maxincominglinks":null,"ilj_limitoutgoinglinks":null,"ilj_maxoutgoinglinks":null,"ilj_limitlinksperparagraph":null,"ilj_linksperparagraph":null,"ilj_blacklistdefinition":null,"ilj_linkdefinition":null,"_eb_reusable_block_ids":null,"rank_math_focus_keyword":"Mailserver TLS","rank_math_og_content_image":null,"_yoast_wpseo_metadesc":null,"_yoast_wpseo_content_score":null,"_yoast_wpseo_focuskeywords":null,"_yoast_wpseo_keywordsynonyms":null,"_yoast_wpseo_estimated-reading-time-minutes":null,"rank_math_description":null,"surfer_last_post_update":null,"surfer_last_post_update_direction":null,"surfer_keywords":null,"surfer_location":null,"surfer_draft_id":null,"surfer_permalink_hash":null,"surfer_scrape_ready":null,"_thumbnail_id":"18962","footnotes":null,"_links":{"self":[{"href":"https:\/\/webhosting.de\/sv\/wp-json\/wp\/v2\/posts\/18969","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/webhosting.de\/sv\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/webhosting.de\/sv\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/webhosting.de\/sv\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/webhosting.de\/sv\/wp-json\/wp\/v2\/comments?post=18969"}],"version-history":[{"count":0,"href":"https:\/\/webhosting.de\/sv\/wp-json\/wp\/v2\/posts\/18969\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/webhosting.de\/sv\/wp-json\/wp\/v2\/media\/18962"}],"wp:attachment":[{"href":"https:\/\/webhosting.de\/sv\/wp-json\/wp\/v2\/media?parent=18969"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/webhosting.de\/sv\/wp-json\/wp\/v2\/categories?post=18969"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/webhosting.de\/sv\/wp-json\/wp\/v2\/tags?post=18969"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}