smtpd_tls - Optionen
Klaus Tachtler
klaus at tachtler.net
Di Jan 25 09:29:40 CET 2022
Hallo Sebastian,
wenn ich ein Spammer wäre, was ich nicht bin, obwohl mein Vorname auch
"Klaus" ist, wäre es doch auch ein leichtes, mir ein Let's Encrypt
Zertifikat zu besorgen, wenn ich schon einen eigenen Mail-Server als
Spammer unterhalte.
Falls ich aber ein Mailkonto eines großen Providers gehackt habe, kann
der große Provider bestimmt auch "encrypt"?
Grüße
Klaus.
----- Nachricht von sebastian at debianfan.de ---------
Datum: Tue, 25 Jan 2022 09:15:20 +0100
Von: sebastian at debianfan.de
Antwort an: Diskussionen und Support rund um Postfix
<postfixbuch-users at listen.jpberlin.de>
Betreff: smtpd_tls - Optionen
An: Diskussionen und Support rund um Postfix
<postfixbuch-users at listen.jpberlin.de>
> Guten Morgen,
>
> so wie ich das verstanden habe, beeinflussen die Parameter:
>
> smtpd_tls_CAfile =
> smtpd_tls_CApath =
> smtpd_tls_always_issue_session_ids = yes
> smtpd_tls_ask_ccert = no
> smtpd_tls_auth_only = no
> smtpd_tls_ccert_verifydepth = 9
> smtpd_tls_cert_file = /etc/letsencrypt/live/mail.meinserver.de/fullchain.pem
> smtpd_tls_chain_files =
> smtpd_tls_ciphers = high
> smtpd_tls_dcert_file =
> smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem
> smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem
> smtpd_tls_dkey_file = $smtpd_tls_dcert_file
> smtpd_tls_eccert_file =
> smtpd_tls_eckey_file = $smtpd_tls_eccert_file
> smtpd_tls_eecdh_grade = auto
> smtpd_tls_exclude_ciphers =
> smtpd_tls_fingerprint_digest = md5
> smtpd_tls_key_file = /etc/letsencrypt/live/mail.meinserver.de/privkey.pem
> smtpd_tls_loglevel = 0
> smtpd_tls_mandatory_ciphers = high
> smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5
> smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
> smtpd_tls_protocols = !SSLv2, !SSLv3
> smtpd_tls_received_header = no
> smtpd_tls_req_ccert = no
> smtpd_tls_security_level = may
> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
> smtpd_tls_session_cache_timeout = 3600s
> smtpd_tls_wrappermode = no
>
>
> die Möglichkeiten von externen Mailservern, bei der Maschine hier
> Mails abzugeben.
>
> Im aktuellen Fall heisst das ja "Verschlüsselte Verbindungen sind
> ok, aber wenns nicht geht, dann kannst Du auch ohne Verschlüsselung
> senden".
>
> Wäre es nicht sinnvoller, auf "encrypt" anstatt auf "may" zu gehen -
> oder gibt es noch 'größere relevante Versender', welche immer noch
> unverschlüsselt senden ?
>
> Könnte man damit vielleicht auch Spam eindämmen ?
>
> gruß
>
> Sebastian
----- Ende der Nachricht von sebastian at debianfan.de -----
--
---------------------------------------
e-Mail : klaus at tachtler.net
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-keys
Dateigröße : 3121 bytes
Beschreibung: Öffentlicher PGP-Schlüssel
URL : <http://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20220125/6ee62f98/attachment.skr>
Mehr Informationen über die Mailingliste Postfixbuch-users