Postfix extra.cf Optionen

iNeed2P

Guten Tag liebe Mailcow Community,

Ich besitze ein Mailcow Server für private Zwecke, worüber nur ich E-Mails sende bzw empfange. Ich hatte die Idee die Postfix Sicherheitsparameter etwas hochzuschrauben und habe diese mit folgenden Parameter ergänzt.
`# Erzwinge TLS für alle eingehenden Verbindungen
smtpd_tls_security_level = encrypt

TLS-Protokolle: Erlaube nur TLSv1.2 und TLSv1.3

smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1

Cipher-Suiten: Verwende nur starke Cipher-Suiten

smtpd_tls_ciphers = high
smtpd_tls_mandatory_ciphers = high

Ausschluss unsicherer Cipher-Suiten

smtpd_tls_exclude_ciphers = aNULL, MD5

Verschlüsselte TLS-Verbindungen erzwingen

smtp_tls_security_level = may
smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_ciphers = high
smtp_tls_mandatory_ciphers = high
smtp_tls_exclude_ciphers = aNULL, MD5

Cipher-Suiten Liste für hohe Sicherheit

tls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:TLS_AES_256_GCM_SHA384:ECDHE-RSA-CHACHA20-POLY1305:TLS_CHACHA20_POLY1305_SHA256:ECDHE-RSA-AES128-GCM-SHA256:TLS_AES_128_GCM_SHA256

Protokollierungslevel für TLS

smtpd_tls_loglevel = 1

TLS-Session-Cache für bessere Leistung

smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

Verhindere TLS-Downgrade-Angriffe

tls_preempt_cipherlist = yes

Erzwinge TLS-Authentifizierung für SMTP-Clients

smtpd_tls_auth_only = yes

Verwende ECDHE für Elliptische Kurven, um Sicherheit zu verbessern

smtpd_tls_eecdh_grade = strong`

Jetzt wollte ich aus Interesse halber mal nachfragen, ob mit solchen Parameter Probleme auftauchen könnten, da diese ja schon in der main.cf definiert sind, und ob smtpd_tls_security_level = encrypt überhaupt bei Mailcow Sinn ergibt da man bei die jeweiligen E-Mail-Adressen ja selbst TLS für eingehende und ausgehenden E-Mails in auf der Website aktivieren kann.

Ich hoffe das dies der richtige Ort ist nachzufragen, daraufhin ein schönes Wochenende euch noch.

Ganzjahresgriller

iNeed2P Du hast wirklich diese Optionen im Einsatz? Wenn ich die aktiviere kann ich aus Sogo keine Mails mehr verschicken. Ich sehe leider im Log vom Postfix keine Fehler

Ganzjahresgriller

Ich hab sowas ähnliches auch schon mal her gefragt aber leider auch keine antworten bekommen. Scheinbar bist Du mit dem Thema hier nicht richtig aufgehoben. Welche Distribution nutzt Du unter der der Mailcow?

iNeed2P

Ganzjahresgriller Ganz normal KVM mit Debian 12

Ganzjahresgriller

Ich hab diese Frage jetzt auch mal im Debianforum gepostet, nutze auch Debian 12. Mich interessiert das auch. Vielleicht kommt da eine Antwort. Wenn da was kommt werde Sie hier auch veröfftentlichen

iNeed2P

Ganzjahresgriller Alles klar, vielen Dank 😉

esackbauer

https://docs.mailcow.email/de/manual-guides/Postfix/u_e-postfix-extra_cf/
“Bitte erstellen Sie eine neue Datei data/conf/postfix/extra.cf für Überschreibungen oder zusätzliche Inhalte zur main.cf”

Ganzjahresgriller

Ok, das scheinen wir beide überlesen zu haben. Danke

iNeed2P

Ganzjahresgriller Ja habe ich, ich probiere es mit Sogo später mal aus. Wenn ich Zuhause bin.

Ganzjahresgriller Schick mal ein Bild von der extra.cf Datei, vielleicht hast du ein Fehler gemacht, oder es liegt an smtpd_tls_auth_only = yes

Ganzjahresgriller

An dem

smtpd_tls_auth_only = yes

liegt es nicht. Hab erst am Freitag wieder Zeit zum weitersuchen