Hallo Andi,
On 27.10.21 07:39, Andreas Wass - Glas Gasperlmair wrote:
smtpd_tls_cert_file = /etc/letsencrypt/live/mail1.glasgasperlmair.at/fullchain.pem smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem smtpd_tls_key_file = /etc/letsencrypt/live/mail1.glasgasperlmair.at/privkey.pem
alles klar, vielen Dank.
By the way: Sollte ich auch noch ein dh_1024.pem und ein dh_4096.pm für PFS erstellen?
Zunächst: Die Zeile oben mit:
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
kannst Du normalerweise aus Deiner main.cf entfernen - Export Grade Ciphers werden nicht mehr verwendet, es sei denn, Du hast das irgendwo explizit definiert.
Diese Option:
smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem
kannst Du so belassen, gilt nach wie vor als best-practice. Ich selber habe zwar an dieser Stelle ein dh_4096.pem in Verwendung, aber das kann die Performance und auch das Zusammenspiel mit anderen Clients beeinflussen. Bislang jedoch konnte ich dahingehend bei mir keine Probleme beobachten. Von daher: einfach mal statt dem dh_2048.pem ein dh_4096.pem testen. ;-)
Wenn Dich die Qualität Seiner TLS-Settings interessiert, kannst Du übrigens mal das hier anschauen:
https://tls.imirhil.fr/smtp/mail1.glasgasperlmair.at
BTW: Zumindest TLSv1 würde ich heutzutage abschalten. ;-)
Viele Grüße Markus