openssl gendh -out /etc/postfix/dh_512.pem -2 512
openssl gendh -out /etc/postfix/dh_1024.pem -2 1024
 
postconf -e "smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem"
postconf -e "smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem"
postconf -e "smtpd_tls_eecdh_grade = strong"
postconf -e "tls_preempt_cipherlist = yes"
postconf -e "smtpd_tls_loglevel = 1"
postconf -e "smtp_tls_loglevel = 1"
 
postfix reload

Test mit

openssl s_client -starttls smtp -connect station7.example.de:25

Wenn in der Ausgabe etwas in folgender Art steht, ist PFS aktiv:

Protocol  : TLSv1.2    
Cipher    : ECDHE-RSA-AES256-GCM-SHA384

← zurück

Quellen:

• http://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/
• http://www.postfix.org/FORWARD_SECRECY_README.html
• https://www.kernel-error.de/postfix/postfix-dovecot-pfs
• http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_pfs_einsetzen