Letsencrypt für Postfix verwenden?

classic Classic list List threaded Threaded
5 messages Options
Reply | Threaded
Open this post in threaded view
|

Letsencrypt für Postfix verwenden?

SChani
Hallo, ist es möglich die mittels Letscrypt erstellten Certs auch für
den Postfix TLS zu verwenden?

Besten Dank für Infos

Christian
Reply | Threaded
Open this post in threaded view
|

AW: Letsencrypt für Postfix verwenden?

Daniel-4
Hi,

wieso sollte es nicht gehen?

Webbrowser haben damit ja auch kein Problem.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Christian Leicht
Gesendet: Mittwoch, 7. September 2016 16:56
An: Diskussionen und Support rund um Postfix
Betreff: Letsencrypt für Postfix verwenden?

Hallo, ist es möglich die mittels Letscrypt erstellten Certs auch für
den Postfix TLS zu verwenden?

Besten Dank für Infos

Christian

Reply | Threaded
Open this post in threaded view
|

Re: Letsencrypt für Postfix verwenden?

Jens Adam-2
In reply to this post by SChani

> Am 07.09.2016 um 16:55 schrieb Christian Leicht <[hidden email]>:
>
> Hallo, ist es möglich die mittels Letscrypt erstellten Certs auch für den Postfix TLS zu verwenden?
>
> Besten Dank für Infos
>
> Christian

Natürlich.

Ich verwende auch ein Zertifikat für alles - Postfix, Nginx, Dovecot, Prosody...

--byte


signature.asc (465 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Letsencrypt für Postfix verwenden?

SChani
Ich habe damit das Problem das eingehende Mailverbindungen sehr langsam
sind. 20 MB von Gmail zu meinem Server dauern 50 Minuten und brechen
auch schon mal ab. Die Limits hab ich raufgeschraubt. Aber es liegt
irgendwie an SSL/TLS und oder Cipher.
Ich weis nicht genug darüber Bescheid damit ich das eingrenzen könnte.
Normale Email sind kein Problem. Amamisd-new hab ich schon abgehängt,
aber daran liegt es nicht. SSL wenn ich ganz raus nehme dauern 20MB
eingehendes Email 20 Sekunden incl. Amavisd mit ClamAV.

Woran kann das liegen?

Besten Dank für Tipps

Christian

Am 07.09.2016 um 17:51 schrieb Jens Adam:

>
>> Am 07.09.2016 um 16:55 schrieb Christian Leicht <[hidden email]>:
>>
>> Hallo, ist es möglich die mittels Letscrypt erstellten Certs auch für den Postfix TLS zu verwenden?
>>
>> Besten Dank für Infos
>>
>> Christian
>
> Natürlich.
>
> Ich verwende auch ein Zertifikat für alles - Postfix, Nginx, Dovecot, Prosody...
>
> --byte
>


smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

AW: Letsencrypt für Postfix verwenden?

Daniel-4
Hi Christian,

Klingt komisch, denke liegt aber eher weniger am Cert selbst.

Wenn meinst dass es daran liegt, erstell die kostenlos eins http://buy.wosign.com/free/?lan=en, denke 3 Jahre Laufzeit sollten für nen Test reichen ;-)

Weiß nicht wie deine Konfig aussieht dazu, daher mal alte Email von mir zitiert:
-----Ursprüngliche Nachricht-----
Gesendet: Sonntag, 12. Juni 2016 16:44
An: 'Diskussionen und Support rund um Postfix'
Betreff: AW: verschlüsselter Austausch Server <-> Server

Hi,

die ciperlist kannst weglassen, wenn doch setzen möchtest kannst nehmen:
tls_high_cipherlist = EECDH+AESGCM:AES+EECDH:+ECDHE-RSA-AES256-SHA:+ECDHE-RSA-AES128-SHA:RSA+AESGCM:RSA+AES:RSA+CAMELLIA:+AES256-SHA:+AES128-SHA:!EXPORT:!eNULL:!aNULL:!DES:!3DES:!RC4:!RC2:!MD5:!IDEA:!SEED:!EDH:!aECDH:!aECDSA:!kECDHe:!SRP:!PSK

Versehe deine dh1024 besser mit stärkerer Datei z.B. dh4096.pem

Probiere sonst mal mit z.B., mit solchen Werte fahre ich soweit ganz gut, Testseiten zeigen keine Schwachstellen bei SSL und co nach aktuellem Stand.

smtp_dns_support_level = dnssec
smtp_host_lookup = dns
smtp_tls_ciphers = high
smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtp_tls_fingerprint_digest = SHA256
smtp_tls_mandatory_ciphers= high
smtp_tls_mandatory_protocols = !SSLv2,!SSLv3
smtp_tls_note_starttls_offer = yes
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_security_level = dane

smtpd_tls_ciphers = high
smtpd_tls_dh1024_param_file = /pfad/dh4096.pem
smtpd_tls_eecdh_grade = strong
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_fingerprint_digest = SHA256
smtpd_tls_mandatory_ciphers= high
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtpd_tls_security_level = may

tls_daemon_random_bytes = 64
tls_preempt_cipherlist = yes
tls_random_bytes = 64
tls_ssl_options = no_ticket, no_compression

Gruß Daniel



-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Christian Leicht
Gesendet: Mittwoch, 7. September 2016 20:33
An: Diskussionen und Support rund um Postfix
Betreff: Re: Letsencrypt für Postfix verwenden?

Ich habe damit das Problem das eingehende Mailverbindungen sehr langsam
sind. 20 MB von Gmail zu meinem Server dauern 50 Minuten und brechen
auch schon mal ab. Die Limits hab ich raufgeschraubt. Aber es liegt
irgendwie an SSL/TLS und oder Cipher.
Ich weis nicht genug darüber Bescheid damit ich das eingrenzen könnte.
Normale Email sind kein Problem. Amamisd-new hab ich schon abgehängt,
aber daran liegt es nicht. SSL wenn ich ganz raus nehme dauern 20MB
eingehendes Email 20 Sekunden incl. Amavisd mit ClamAV.

Woran kann das liegen?

Besten Dank für Tipps

Christian

Am 07.09.2016 um 17:51 schrieb Jens Adam:

>
>> Am 07.09.2016 um 16:55 schrieb Christian Leicht <[hidden email]>:
>>
>> Hallo, ist es möglich die mittels Letscrypt erstellten Certs auch für den Postfix TLS zu verwenden?
>>
>> Besten Dank für Infos
>>
>> Christian
>
> Natürlich.
>
> Ich verwende auch ein Zertifikat für alles - Postfix, Nginx, Dovecot, Prosody...
>
> --byte
>