Hi,
mein neu eingerichteter Server mit Mailcow dockerized hat noch ein nicht optimales Rating bei internet.nl (82%) und ich weiß nicht, wo ich hinlangen muss…
Ich fahre eine Mailcow Installation mit traefik als Reverse Proxy.
Modern address (IPv6): IPv6 reachability of mail server(s)
Mein Mailserver (MX) ist wohl nicht mit seiner IPV6 Adresse auf Port 25 erreichbar.
Alles andere ist mit IPv6 erreichbar. Der Server kann das und im DNS ist auch alles eingestellt.
Nun habe ich unter https://docs.mailcow.email/de/post_installation/firststeps-ip_bindings/#ipv6-binding gefunden, dass ich die docker-compose.override.yml entsprechend anpassen muss.
Tue ich dies und mache einen restart (down; up -d) dann bekomme ich folgende Fehlermeldung:
Error response from daemon: driver failed programming external connectivity on endpoint mailcowdockerized-dovecot-mailcow-1 (637…): Error starting userland proxy: listen tcp6 [::]:4190: bind: address already in use
Secure mail server connection (STARTTLS and DANE)
Hier mäkelt er “TLS version” und “Ciphers (Algorithm selections)” an.
Anscheinend erlaube ich TLS 1.1 und/oder TLS 1.0.
In der Traefik Konfiguration habe ich dazu schon in der dynamic-config.yml folgendes hinzugefügt:
tls:
options:
default:
cipherSuites:
- "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
- "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
- "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"
- "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"
- "TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305"
- "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305"
minVersion: "VersionTLS12" # Minimum TLS Version
sniStrict: true # Strict SNI Checking
Aber das ist ja nur für Traefik.
Mailcow kopiert sich mit dem certdumper die notwendigen Zertifikate zu sich und macht dann “irgendwas tolles” damit :-)
Laut Doku ist alles auf mindestens TLS 1.2 umgestellt. Ich habe meines Wissens daran nichts geändert. Was tun?
Wo kann ich sagen, dass “AES256-GCM-SHA384” nicht mehr genutzt werden darf?
Key exchange parameters
Ein rotes Schild habe ich bei “Key exchange parameters”.
Er behauptet mein MX Server nutzt “DH-2048” und das sei “insufficient”.
Keine Ahnung, wo ich da was ändern muss…
DANE existance
Auch ein rotes Schild habe ich bei “DANE existance”.
Wenn mir da einer einen Hint geben kann, wie die Schritte zur Erfüllung dieser Anforderung für Mailcow aussehen, dann wäre ich sehr glücklich.
Vielen Dank im Voraus,
Ruppel