Hallo Andi,
On 27.10.21 07:39, Andreas Wass - Glas Gasperlmair wrote:
smtpd_tls_cert_file =
/etc/letsencrypt/live/mail1.glasgasperlmair.at/fullchain.pem
smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
smtpd_tls_key_file =
/etc/letsencrypt/live/mail1.glasgasperlmair.at/privkey.pem
alles klar, vielen Dank.
By the way: Sollte ich auch noch ein dh_1024.pem und ein dh_4096.pm für PFS
erstellen?
Zunächst: Die Zeile oben mit:
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
kannst Du normalerweise aus Deiner main.cf entfernen - Export Grade Ciphers
werden nicht mehr verwendet, es sei denn, Du hast das irgendwo explizit
definiert.
Diese Option:
smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem
kannst Du so belassen, gilt nach wie vor als best-practice. Ich selber habe
zwar an dieser Stelle ein dh_4096.pem in Verwendung, aber das kann die
Performance und auch das Zusammenspiel mit anderen Clients beeinflussen.
Bislang jedoch konnte ich dahingehend bei mir keine Probleme beobachten.
Von daher: einfach mal statt dem dh_2048.pem ein dh_4096.pem testen. ;-)
Wenn Dich die Qualität Seiner TLS-Settings interessiert, kannst Du übrigens
mal das hier anschauen:
https://tls.imirhil.fr/smtp/mail1.glasgasperlmair.at
BTW: Zumindest TLSv1 würde ich heutzutage abschalten. ;-)
Viele Grüße
Markus
