TLS härten
Mailcow deaktiviert mittlerweile unsichere Protokolle wie TLS 1.0 und 1.1 - jedoch sind noch einige 1.2 Cipher unsicher, diese können dann in der Datei /opt/data/conf/postfix/main.cf angepasst werden, ändert die angegebene Zeile wie folgt:
smtpd_tls_exclude_ciphers = ECDHE-RSA-RC4-SHA, RC4, aNULL, DES-CBC3-SHA, ECDHE-RSA-DES-CBC3-SHA, EDH-RSA-DES-CBC3-SHA, AES256-GCM-SHA384, AES128-GCM-SHA256, AES256-SHA256, AES256-SHA256smtp_tls_ciphers = high
smtp_tls_mandatory_ciphers = high
smtpd_tls_ciphers = high
smtpd_tls_mandatory_ciphers = high
tls_high_cipherlist = tls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:TLS_AES_256_GCM_SHA384:ECDHE-RSA-CHACHA20-POLY1305:TLS_CHACHA20_POLY1305_SHA256:ECDHE-RSA-AES128-GCM-SHA256:TLS_AES_128_GCM_SHA256
smtpd_tls_eecdh_grade = ultra
Startet danach den Postfix Container neu und prüft anschließend mit internet.nl Mailserverchek, ob nun die Konfiguration übernommen wurde.
Weitere Informationen: https://schroederdennis.de/tipps-tricks/mailcow-smtp-smtpd-tls-1-0-tls1-1-deaktivieren/