postfix als Mailgateway mit TLS

[sascha735]

Hallo zusammen
Ich habe einen der die Emails via eine Mailserver-appliance verschickt. Auf der Appliance wird auch Spam klassifiziert, nach Viren gesucht etc.
Die Email laufen nach innen und aussen über diese Appliance....

Die Kommunikation zwischen dem Mailgateway und dem anderen Zielmailserver will ich mit TLS verschlüsseln. Das Problem ist, dass die Appliance TLS nur anbieten kann. Ich will jedoch TLS erzwingen. Gem Hersteller und Entwicklung ist dies erst auf 2019 geplant.

Daher meine Idee: ich setze einfach einen Postfix davor.
Somit kommen die Email von extern auf den Postfix, dann zur Appliance und zum Schluss zum Exchange. Nach aussen gehen die Emils vom Exchange zur Appliance dann zum Postfix, dann weg.

Auf dem Postfix möchte ich einstellen können, dass alle Email an die Domäne "Domäne.ch" nur via TLS übermittelt werden dürfen. Wenn die TLS Verbindung nicht hergestellt werden kann darf das Email nicht gesendet werden.


Meine Frage nun, wie muss ich den Postfix konfigurieren. Oder kann mir jemand eventuell helfen?

Jedenfalls schon an dieser Stelle vielen Dank!

freundliche grüsse
Sascha

 

[florian030]

Vielleicht hilft Dir das her weiter: https://sys4.de/de/blog/2013/03/27/uebermittlungssicherheit-mit-mailservern-postfix-tls/

 

[epek]

Der oben gepostete Link (sys4.de) lässt sich bei mir gerade nicht öffnen.
Ich versuche in meiner Frage auf gleich das Folgeszenario abzudecken: Postfix kümmert sich aus- und eingehend um ideale Verschlüsselung.

1.) Zum späteren Debuggen einer SSL-Konfiguration kann das Folgende später nützlich sein: https://de.ssl-tools.net/mailservers

2.) Anbei ein paar Postfix-Schnipsel, die eine höhere Verschlüsselung ermöglichen helfen - exemplarisch - auf jeden Fall bitte die Postfix-Doku zu lesen! Gegebenfalls die smtp_-Variante davon googlen.
smtpd_tls_ciphers = high
smtpd_tls_dh1024_param_file = ${config_directory}/dh2048.pem
smtpd_tls_dh512_param_file = ${config_directory}/dh512.pem
smtpd_tls_eecdh_grade = ultra
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols=!SSLv2,!SSLv3
smtpd_use_tls = yes
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtp_tls_note_starttls_offer = yes
smtp_tls_security_level = may
tls_eecdh_strong_curve = prime256v1
tls_eecdh_ultra_curve = secp384r1
tls_high_cipherlist=EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
tls_random_source = dev:/dev/urandom
tls_ssl_options = NO_COMPRESSION

3.) Ungestest eingehend- Quelle http://serverfault.com/questions/38...on-incoming-email-only-from-certain-domains-o
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/enforced_tls
/etc/postfix/enforced_tls:
@example.org reject_plaintext_session
@example.net reject_plaintext_session
postmap /etc/postfix/enforced_tls

4.) Postfix-Manual ausgehend:
smtp_tls_policy_maps
Die folgenden Code-Schnipsel stammen von http://www.postfix.org/postconf.5.html#smtp_tls_policy_maps:
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
# Postfix 2.5 and later
smtp_tls_fingerprint_digest = md5

/etc/postfix/tls_policy:
example.edu none
example.mil may
example.gov encrypt protocols=TLSv1
example.com verify ciphers=high
example.net secure
.example.net secure match=.example.net:example.net
[mail.example.org]:587 secure match=nexthop
# Postfix 2.5 and later
[thumb.example.org] fingerprint
match=EC:3B:2D:B0:5B:B1:FB:6D:20:A3:9D:72:F6:8D:12:35
match=3D:95:34:51:24:66:33:B92:40:99:C0:C1:17:0B1


Ich denke, damit lässt sich was machen! Viel Erfolg!