Das Proxmox Mail Gateway Version 7.x unterstützt sämtliche aktuellen, aber auch veralteten Versionen von TLS. Dies führt mitunter dazu, dass bei der verschlüsselten Kommunikation mit anderen Systemen noch die TLS Versionen 1.0 oder 1.1 genutzt werden. Natürlich möchte man das heutzutage nicht mehr wirklich auf seinem Mailsystem sehen.
In diesem Beitrag möchte ich euch zeigen, wie ihr auf eurem Proxmox Mail Gateway die TLS Versionen 1.0 und 1.1 deaktiviert und somit das System dazu zwingt nur noch TLS 1.2 oder höher zu nutzen.
Das Proxmox Mail Gateway basiert auf einem Postfix SMTP Server. Leider gibt es in dieser Version auf der GUI noch keine Möglichkeit, so eine tiefgreifende Änderungen in der Postfix-Konfiguration durchzuführen. Dementsprechend müssen wir uns hierfür auf die Kommandozeile des Systems begeben.
Anlegen und editieren eines TLS-Templates im Proxmox Mail Gateway
Allerdings ist es im Proxmox Mail Gateway nicht möglich bzw. nicht sinnvoll einfach die main.cf vom Postfix zu ändern, da diese Änderungen spätestens beim Reboot wieder überschrieben werden. Hierfür gibt es aber Templates, die man anlegen, editieren und abschließend deployen kann. Um dies zu tun, legen wir initial einen entsprechenden Template-Ordner mit folgendem Befehl an:
sudo mkdir /etc/pmg/templates/
Im nächsten Schritt kopieren wir eine entsprechende Template-Vorlage an diesen Ort:
sudo cp var/lib/pmg/templates/main.cf.in /etc/pmg/templates/main.cf.in
Anschließend ergänzen wir dieses neue Template mit folgenden Konfigurationen:
smtp_tls_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
lmtp_tls_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
Mit diesem Teil verbieten wir alle nicht gewollten Protokolle durch die Angabe des Protokollnamens mit einem “!” davor.
Anschließend schränken wir die Ciphers ein, die das System nutzen darf:
smtp_tls_ciphers = high
smtp_tls_mandatory_ciphers = high
smtpd_tls_ciphers = high
smtpd_tls_mandatory_ciphers = high
tls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:TLS_AES_256_GCM_SHA384:ECDHE-RSA-CHACHA20-POLY1305:TLS_CHACHA20_POLY1305_SHA256:ECDHE-RSA-AES128-GCM-SHA256:TLS_AES_128_GCM_SHA256
Jetzt sagen wir dem System noch, dass die Cipherliste des Servers immer Vorrang haben soll:
tls_preempt_cipherlist = yes
Abschließend setzen wir noch den Grad für den Ephemeral Elliptic-Curve Diffie-Hellman (EECDH) Key Exchange und deaktivieren die SSL Compression:
smtpd_tls_eecdh_grade = ultra
tls_ssl_options = NO_COMPRESSION
Wir sind nun mit der Erweiterung des Templates fertig und können es speichern und schließen. Mit folgendem Befehl aktiveren wir das Template und machen es so gesehen bootfest:
sudo pmgconfig sync --restart 1
Schaut ihr nun in die main.cf von Postfix, seht ihr, dass unsere Konfigurationsschnipsel dort mit eingefügt wurden.
Damit sind wir auch schon am Ende dieses kleinen Tutorials angelangt. Ihr seht, man kann mit ein paar Konfigurationszeilen mal eben sein Mailsystem ein wenig mehr auf den aktuellen Stand der Zeit bringen.
Tipps & Tricks
Ihr möchtet mehr zum Thema Proxmox erfahren? Dann klickt euch doch mal durch meine Beiträge hierzu:
Hat dir dieser Beitrag gefallen?
Ich bin beruflich Consultant für Datacenter-Netzwerke. Da ich aber durch und durch IT’ler bin, beschäftige ich mich auch im Privaten viel mit Technik, Smart Home und Automatisierung.
Mit meinen Beiträgen möchte ich euch helfen, in dieser schnelllebigen Welt der Technik etwas Licht ins Dunkle zu bringen.