Hier schnell eine Anleitung wie man für Mailcow TLS 1.0 und TLS 1.1 für den SMTP und SMTPD Dienst deaktiviert. Mailcow selber beschreibt hier das Sie für POP, IMAP und SMTPS diese Methoden ausgeschaltet haben. Allerdings möchte ich entgegengesetzt auch für SMTP und SMTP diese beiden deaktivieren und nur noch als sicher eingestufte Methoden verwenden.

Hinweis: Mailcow selber sagt es könnte sein, dass nicht alle Mails angenommen werden können wenn die Gegenseite kein TLS1.2 kann.

Mailcow SMTP TLS 1.0 TLS1.1 deaktivieren

Wer sich schon mal 3 Meter mit Mailcow beschäftigt hat, der weis es gibt diverse Konfigurationen für alle Dienste. Wir müssen hier für den Dienst Postfix zusätzliche Einträge hinzufügen. Wer die Standardinstallation von Mailcow durchgeführt hat, bei dem liegen alle Daten in dem Pfad /opt/mailcow-dockerized. Wir bearbeiten nun die Postfix extra.cf Datei. (Grundlegend steht da nur der FQDN drin)

nano /opt/mailcow-dockerized/data/conf/postfix/extra.cf

Folgendes fügen einfach am Ende der Datei hinzu. Wer sich fragt was da passiert.. Es werden lediglich veraltete Methoden deaktiviert wie SSLv2,SSLv3 TLSv1 und TLSv1.1 für das Protokoll SMTP und dem STMP Deamon. Die Verschlüsselung wird ebenfalls voll hochgezogen.

smtp_tls_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
lmtp_tls_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
# SSL/TLS supported ciphers
smtp_tls_ciphers = high
smtp_tls_mandatory_ciphers = high
smtpd_tls_ciphers = high
smtpd_tls_mandatory_ciphers = high
tls_high_cipherlist = tls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:TLS_AES_256_GCM_SHA384:ECDHE-RSA-CHACHA20-POLY1305:TLS_CHACHA20_POLY1305_SHA256:ECDHE-RSA-AES128-GCM-SHA256:TLS_AES_128_GCM_SHA256
smtpd_tls_eecdh_grade = ultra

Danach müssen wir nur noch den Dienst Postfix neustarten und alles ist prima.

docker-compose restart postfix-mailcow