TLS Encryption

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
pronto
Beiträge: 11
Registriert: 26.04.2011 12:48:30

TLS Encryption

Beitrag von pronto » 17.01.2021 19:56:37

Servus Community,

ich betreibe einen Debian 10 Root Server mit mehreren gehosteten Wordpress und Nextcloud Instanzen. Um Kosten zu sparen möchte ich eine Postfix Instanz als Send Only Mailserver für die Wordpress Kontaktformulare verwenden. Einen PTR-Record für den FQDN des Servers und SPF-Records für alle betroffenen Domains habe ich schon erstellt, jetzt schaue ich mir gerade die TLS Option für verschlüsselten Mailtransfer an[1][2]. Jetzt habe ich eine Frage zu den Zertifikaten für TLS:

Der Artikel unter [1] geht gar nicht auf Zertifikate bei der Aktivierung von TLS ein, wobei sich dieser Artikel auch ausschließlich auf Send-Only Postfix bezieht. Der Artikel unter [2] geht zwar auf Zertifikate ein, jedoch nur im Absatz zum Empfangen von E-Mails. Kann ich daraus entnehmen, dass ich beim Senden gar kein Zertifikat benötige, sondern der empfangende Mailserver ein Zertifikat bereitstellt, welches mein Server nur noch akzeptieren braucht? Klingt irgendwie komisch.

Ich habe auf dem Server auch eine Certbot Let's Encrypt Instanz laufen und könnte ggf. das bereits vorhandene Zertifikat für meine Web-Domain (www.domain.de; domain.de), unter der auch der Mailserver im PTR-Record registriert ist (mail.domain.de) diesbzgl. erweitern und in der Konfiguration von Postfix hinterlegen, aber wenn es nicht notwendig ist, würde ich auch darauf verzichten. Keep it simple and stupid.

Des Weiteren wird unter [2] beim Versenden von einer Referenz aller CAs gesprochen (smtp_tls_CAfile), denen der Mailserver vertrauen soll. Ist das quasi eine Validierung aller von diesen CAs ausgestellten Zertifikate, wie man es aus Browsern kennt? [1] hat auch diesen Schritt nicht erwähnt.

[1] https://www.linuxbabe.com/mail-server/p ... ins-ubuntu
[2] https://kofler.info/postfix-tls-optionen/

Thx & Bye Tom

pixelpirat
Beiträge: 158
Registriert: 05.07.2007 17:22:21

Re: TLS Encryption

Beitrag von pixelpirat » 18.01.2021 10:27:19

Soweit ich weiß, benötigst du kein Zertifikat für das senden. Es ergibt auch keinen Sinn das eigenen Zertifikat zu verwenden. Schließlich will der sendende Server ja wissen, ob die Mail beim richtigen Mailserver zugestellt wird.

Code: Alles auswählen

Step 8: Enable TLS Encryption for Outgoing Emails
By default, Postfix doesn’t use TLS encryption when sending outgoing emails. To enable TLS encryption, open the /etc/postfix/main.cf file and add the following two lines at the end of this file.

smtp_tls_security_level = may
smtp_tls_loglevel = 1
Das sollte reichen. Kontrollieren kannst Du es in der mail.log ob zum Zielserver eine tls-Verbindung aufgebaut wird.

HTH

pronto
Beiträge: 11
Registriert: 26.04.2011 12:48:30

Re: TLS Encryption

Beitrag von pronto » 18.01.2021 19:42:48

Servus Pixelpirat,

ja tut es, untrusted und anonmyous zwar aber die Verbindung wird verschlüsselt und das war das Ziel. Da Mailserver eigentlich auch self-signed Zertifikate akzeptieren, sollte es das eigentlich gewesen sein.

Vielen Dank & Bye Tom

pixelpirat
Beiträge: 158
Registriert: 05.07.2007 17:22:21

Re: TLS Encryption

Beitrag von pixelpirat » 18.01.2021 20:13:51

pronto hat geschrieben: ↑ zum Beitrag ↑
18.01.2021 19:42:48
Servus Pixelpirat,

ja tut es, untrusted und anonmyous zwar aber die Verbindung wird verschlüsselt und das war das Ziel. Da Mailserver eigentlich auch self-signed Zertifikate akzeptieren, sollte es das eigentlich gewesen sein.

Vielen Dank & Bye Tom
Vielleicht hilft dir diese Seite noch weiter
http://www.postfix.org/postconf.5.html# ... rity_level

Antworten