Perfect Forward Secrecy (PFS), auf deutsch etwa perfekte vorwärts gerichtete Geheimhaltung, ist in der Kryptographie eine Eigenschaft bestimmter Schlüsselaustauschprotokolle.
1. Prüfen Sie, ob Sie Postfix > 2.6 (ideal: > 2.8) und openssl > 0.9 (ideal: > 1.0) haben:
openssl version
postconf mail_version
2. Die Kommandofolge kann per Copy Paste in die Shell übernommen werden:
openssl gendh -out /etc/postfix/dh_512.pem -2 512
openssl gendh -out /etc/postfix/dh_2048.pem -2 2048
postconf -e "smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem"
postconf -e "smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem"
postconf -e "smtpd_tls_eecdh_grade = strong"
postconf -e "tls_preempt_cipherlist = yes"
postconf -e "smtpd_tls_loglevel = 1"
postconf -e "smtp_tls_loglevel = 1"
postfix reload
Quelle: (https://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/ )
3. Einen Versionscheck für Dovecot durchführen
# doveconf | head -n1
4. Eine Datei für Dovecot erstellen und ein paar Optionen einfügen:
nano /etc/dovecot/conf.d/10-enhancing-ssl.conf
Folgendes einfügen:
#Show PFS in Log
login_log_format_elements = "user=<%u> method=%m rip=%r lip=%l mpid=%e %c %k"
# (Dovecot 2.2.6 or greater)
ssl_prefer_server_ciphers = yes
#disable SSLv2 and SSLv3
ssl_protocols = !SSLv2 !SSLv3
#regenerates every week
ssl_dh_parameters_length = 2048
5. Hostname mit passenden Ports überprüfen:
https://www.htbridge.com/
(SSL Ports 465 SMTP oder 993 IMAP)
Quelle: https://de.wikipedia.org/wiki/Perfect_Forward_Secrecy
Ein Projekt der Daka Media KG