SSL_accept error from 213-225-38-118.nat.highway.a1.net[213.225.38.118]: -1 - Nachtrag

Markus Winkler ml at irmawi.de
Mi Okt 27 10:03:19 CEST 2021


Hallo Andi,

On 27.10.21 07:39, Andreas Wass - Glas Gasperlmair wrote:
> smtpd_tls_cert_file = 
> /etc/letsencrypt/live/mail1.glasgasperlmair.at/fullchain.pem
> smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem
> smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
> smtpd_tls_key_file = 
> /etc/letsencrypt/live/mail1.glasgasperlmair.at/privkey.pem

alles klar, vielen Dank.

> By the way: Sollte ich auch noch ein dh_1024.pem und ein dh_4096.pm für PFS 
> erstellen?

Zunächst: Die Zeile oben mit:

smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem

kannst Du normalerweise aus Deiner main.cf entfernen - Export Grade Ciphers 
werden nicht mehr verwendet, es sei denn, Du hast das irgendwo explizit 
definiert.

Diese Option:

smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem

kannst Du so belassen, gilt nach wie vor als best-practice. Ich selber habe 
zwar an dieser Stelle ein dh_4096.pem in Verwendung, aber das kann die 
Performance und auch das Zusammenspiel mit anderen Clients beeinflussen. 
Bislang jedoch konnte ich dahingehend bei mir keine Probleme beobachten. 
Von daher: einfach mal statt dem dh_2048.pem ein dh_4096.pem testen. ;-)

Wenn Dich die Qualität Seiner TLS-Settings interessiert, kannst Du übrigens 
mal das hier anschauen:

https://tls.imirhil.fr/smtp/mail1.glasgasperlmair.at

BTW: Zumindest TLSv1 würde ich heutzutage abschalten. ;-)

Viele Grüße
Markus


Mehr Informationen über die Mailingliste postfix-users