=== Postfix Perfect Forwarding Secrecy (PFS) ===


openssl gendh -out /etc/postfix/dh_512.pem -2 512
openssl gendh -out /etc/postfix/dh_1024.pem -2 1024

postconf -e "smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem"
postconf -e "smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem"
postconf -e "smtpd_tls_eecdh_grade = strong"
postconf -e "tls_preempt_cipherlist = yes"
postconf -e "smtpd_tls_loglevel = 1"
postconf -e "smtp_tls_loglevel = 1"

postfix reload

\\ Test mit


openssl s_client -starttls smtp -connect station7.example.de:25

\\ Wenn in der Ausgabe etwas in folgender Art steht, ist PFS aktiv:


Protocol  : TLSv1.2    
Cipher    : ECDHE-RSA-AES256-GCM-SHA384

\\ \\ <- [[linux:email:email|zurück]] \\ \\ Quellen:\\ * http://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/ * http://www.postfix.org/FORWARD_SECRECY_README.html * https://www.kernel-error.de/postfix/postfix-dovecot-pfs * http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_pfs_einsetzen