Heute ist mir erst (dank Rüdiger) aufgefallen, dass TLS (Transport Layer Security) standardmäßig gar nicht bei Postfix (Mailserver) aktiviert ist. Also zum einen als Client und zum anderen als Server (als Server war es bei mir aktiviert, da ich den eigenen Usern TLS anbieten wollte).

eingehende Verbindungen Wenn sich andere E-Mail Server per SMTP zum eigenen E-Mail Server verbinden und TLS verwenden möchten, dann machen sie dies nur, wenn der eigene Server “STARTTLS” anbietet. Und dies macht Postfix nur dann, wenn man die Einstellung “smtpd_tls_security_level” entsprechend gesetzt hat. Hier kann man den Wert “may” setzen, dann bietet der eigene Server dies an, aber erzwingt es nicht. Bei “encrypt” wird es sogar erzwungen, was aber nicht zu empfehlen ist - dann hat man bald weniger Freunde, weil nicht alle E-Mail Server das anbieten.

Noch eine kleine Anmerkung: Die Option “smtpd_use_tls” ist veraltet, aber noch funktioniert es. Diese entspricht dem Wert “may” bei “smtpd_tls_security_level” (ist letzteres gesetzt, so überschreibt es “smtpd_use_tls”).

ausgehende Verbindungen Es reicht aber nicht, wenn man nur eingehende Verbindungen verschlüsselt. Auch bei allen ausgehenden soll TLS verwenden. Hier gibt es die Einstellung “smtp_tls_security_level” [man beachte das fehlende “d” - smtpd ist immer für den Server (also eingehend) und smtp für den Client (also ausgehend)]. Hier gibt es die gleichen möglichen Werte: “may” nutzt TLS sofern es möglich ist und “encrypt” erzwingt verschlüsselte Verbindungen. Es gibt hier noch weitere mögliche Werte, die ihr in der Dokumentation nachlesen könnt.

SSL-Zertifikat Voraussetzung für die Verschlüsselung der eingehenden Verbindungen ist natürlich, dass man ein SSL Zertifikat hat. Der Pfad zum Zertifikat und Schlüssel muss über “smtpd_tls_cert_file” und “smtpd_tls_key_file” angegeben werden (PEM Format). Es ist hier eigentlich unerheblich, ob es selbst- oder von einer großen CA signiert ist. Zumindest wüsste ich von keinem öffentlichen E-Mail Server, der nur Zertifikate erlaubt, die von einer vertrauten CA ausgestellt wurde.

PR-Meldung der deutschen E-Mail Provider Wenn man sich diese Einstellungen anschaut, dann kann man eigentlich nur über die PR-Meldung der großen deutschen E-Mail Provider lachen. Sie verkündeten vor kurzem, dass sie aufgrund des NSA-Skandals in Zukunft untereinander verschlüsseln werden. Als ich die Meldung hörte, da dachte ich so: Was ist daran jetzt so neu? Mich hat ja eher gewundert, dass bei denen die Verschlüsselung gar nicht erst an war. Gut, als ich jetzt sah, dass bei Postfix das standardmäßig deaktiviert ist, kann ich es fast verstehen. Eine große Pressemeldung brauchte es aber trotzdem nicht sein.

weitere Informationen Weitere Informationen zur TLS Unterstützung bei Postfix findet ihr in der Postfix Dokumentation.