HowTo: Perfect Forward Secrecy fuer Postfix und Dovecot einrichten

Im Heinlein Support Blog ist beschrieben, wie man sehr einfach Perfect Forward Secrecy fuer Postfix und Dovecot einrichtet. Der Blogeintrag ist unter der folgenden URL zu finden:

Hier noch einmal kurz die Befehle zusammengefasst. Fuer Postfix sind es folgende:

openssl gendh -out /etc/postfix/dh_512.pem -2 512
openssl gendh -out /etc/postfix/dh_1024.pem -2 1024
 
postconf -e "smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem"
postconf -e "smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem"
postconf -e "smtpd_tls_eecdh_grade = strong"
postconf -e "tls_preempt_cipherlist = yes"
postconf -e "smtpd_tls_loglevel = 1"
postconf -e "smtp_tls_loglevel = 1"
 
postfix reload

Fuer Dovecot muss nur zum verbesserten herausfinden in der /etc/dovecot/conf.d/10-logging.conf das Logging angepasst zu:

login_log_format_elements = "user=<%u> method=%m rip=%r lip=%l mpid=%e %c %k"

Testen kann man es anschliessend mit den folgenden beiden Befehlen:

openssl s_client -starttls smtp -connect mx2.heinlein-support.de:25
openssl s_client -starttls imap -connect imap.heinlein-support.de:143