Proxmox Mail Gateway TLS 1.0/1.1 deaktivieren + TLS 1.2/1.3 aktivieren

Das Proxmox Mail Gateway Version 7.x unterstützt sämtliche aktuellen, aber auch veralteten Versionen von TLS. Dies führt mitunter dazu, dass bei der verschlüsselten Kommunikation mit anderen Systemen noch die TLS Versionen 1.0 oder 1.1 genutzt werden. Natürlich möchte man das heutzutage nicht mehr wirklich auf seinem Mailsystem sehen.

In diesem Beitrag möchte ich euch zeigen, wie ihr auf eurem Proxmox Mail Gateway die TLS Versionen 1.0 und 1.1 deaktiviert und somit das System dazu zwingt nur noch TLS 1.2 oder höher zu nutzen.

Das Proxmox Mail Gateway basiert auf einem Postfix SMTP Server. Leider gibt es in dieser Version auf der GUI noch keine Möglichkeit, so eine tiefgreifende Änderungen in der Postfix-Konfiguration durchzuführen. Dementsprechend müssen wir uns hierfür auf die Kommandozeile des Systems begeben.

Samsung Galaxy S21 5G Smartphone 128GB Phantom Violet Android 11.0 G991B
Samsung Galaxy S21 5G Smartphone 128GB Phantom Violet Android 11.0 G991B
Samsung Galaxy S21 5G 128 GB Phantom Violet Dual SIM
599,99 EUR

Anlegen und editieren eines TLS-Templates im Proxmox Mail Gateway

Allerdings ist es im Proxmox Mail Gateway nicht möglich bzw. nicht sinnvoll einfach die main.cf vom Postfix zu ändern, da diese Änderungen spätestens beim Reboot wieder überschrieben werden. Hierfür gibt es aber Templates, die man anlegen, editieren und abschließend deployen kann. Um dies zu tun, legen wir initial einen entsprechenden Template-Ordner mit folgendem Befehl an:

sudo mkdir /etc/pmg/templates/

Im nächsten Schritt kopieren wir eine entsprechende Template-Vorlage an diesen Ort:

sudo cp var/lib/pmg/templates/main.cf.in /etc/pmg/templates/main.cf.in

Anschließend ergänzen wir dieses neue Template mit folgenden Konfigurationen:

smtp_tls_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
lmtp_tls_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1

Mit diesem Teil verbieten wir alle nicht gewollten Protokolle durch die Angabe des Protokollnamens mit einem “!” davor.

Anschließend schränken wir die Ciphers ein, die das System nutzen darf:

smtp_tls_ciphers = high
smtp_tls_mandatory_ciphers = high
smtpd_tls_ciphers = high
smtpd_tls_mandatory_ciphers = high
tls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:TLS_AES_256_GCM_SHA384:ECDHE-RSA-CHACHA20-POLY1305:TLS_CHACHA20_POLY1305_SHA256:ECDHE-RSA-AES128-GCM-SHA256:TLS_AES_128_GCM_SHA256

Jetzt sagen wir dem System noch, dass die Cipherliste des Servers immer Vorrang haben soll:

tls_preempt_cipherlist = yes

Abschließend setzen wir noch den Grad für den Ephemeral Elliptic-Curve Diffie-Hellman (EECDH) Key Exchange und deaktivieren die SSL Compression:

smtpd_tls_eecdh_grade = ultra
tls_ssl_options = NO_COMPRESSION

Wir sind nun mit der Erweiterung des Templates fertig und können es speichern und schließen. Mit folgendem Befehl aktiveren wir das Template und machen es so gesehen bootfest:

sudo pmgconfig sync --restart 1

Schaut ihr nun in die main.cf von Postfix, seht ihr, dass unsere Konfigurationsschnipsel dort mit eingefügt wurden.

Damit sind wir auch schon am Ende dieses kleinen Tutorials angelangt. Ihr seht, man kann mit ein paar Konfigurationszeilen mal eben sein Mailsystem ein wenig mehr auf den aktuellen Stand der Zeit bringen.

Tipps & Tricks

Ihr möchtet mehr zum Thema Proxmox erfahren? Dann klickt euch doch mal durch meine Beiträge hierzu:

Proxmox


Hat dir dieser Beitrag gefallen?


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert