Im Heinlein Support Blog ist beschrieben, wie man sehr einfach Perfect Forward Secrecy fuer Postfix und Dovecot einrichtet. Der Blogeintrag ist unter der folgenden URL zu finden:
Hier noch einmal kurz die Befehle zusammengefasst. Fuer Postfix sind es folgende:
openssl gendh -out /etc/postfix/dh_512.pem -2 512 openssl gendh -out /etc/postfix/dh_1024.pem -2 1024 postconf -e "smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem" postconf -e "smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem" postconf -e "smtpd_tls_eecdh_grade = strong" postconf -e "tls_preempt_cipherlist = yes" postconf -e "smtpd_tls_loglevel = 1" postconf -e "smtp_tls_loglevel = 1" postfix reload |
Fuer Dovecot muss nur zum verbesserten herausfinden in der /etc/dovecot/conf.d/10-logging.conf das Logging angepasst zu:
login_log_format_elements = "user=<%u> method=%m rip=%r lip=%l mpid=%e %c %k" |
Testen kann man es anschliessend mit den folgenden beiden Befehlen:
openssl s_client -starttls smtp -connect mx2.heinlein-support.de:25 openssl s_client -starttls imap -connect imap.heinlein-support.de:143 |