Postfix – TLS / SSL Verschlüsselung aktivieren

In aller Munde ist es stets, dass man verschlüsselte Verbindungen nutzen soll. Auch beim Versand von E-Mails sollte man auf Verschlüsselung setzen, damit die Kommunikation entsprechend sicher abgewickelt wird. Auch Postfix bietet diese Möglichkeit.

Verschlüsselung der Verbindung zwischen Client und Server

Bei Ubuntu werden standardmäßig einige selbstsignierte Zertifikate mitgeliefert, welche per Default auch schon im Postfix hinterlegt sind.

smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

Benutzt man diese, kommen bei allen gängigen E-Mail Clients jedoch Hinweise, dass die Verbindung eventuell nicht sicher sei. Beseitzt man kein gültiges Zertifikat, kann man hier auch ein Zertifikat von LetsEncrypt verwenden. Mehr dazu kann man auch im Artikel “kostenfreie TLS-Zertifikate mit Let’s Encrypt” lesen. Wie man ein konstenpflichtiges Zertifkat erwerben kann, wird zudem im Artikel “SSL leicht gemacht – CSR und Keyfile erstellen und Zertifikat ordern” beschrieben. Alternativ kann hierzu auch unser Support kontaktiert werden.

Anschließend ist die Option smtpd_tls_security_level zu befüllen – per Default ist diese nicht gesetzt.

smtpd_tls_security_level = may

Durch “may” wird besagt, dass TLS Verschlüsselte Clients unterstützt werden, es aber nicht zwingend notwendig ist. Wer TLS Verschlüsselte Kommunikation forcieren möchte, kann hier entsprechend “enforce” setzen, damit es erzwungen wird und Clients immer verschlüsselt mit dem Server Kommunizieren. Damit wäre es grundlegend getan, man sollte jedoch noch darauf achten gewisse SSL Versionen, sowie Cipher zu verbieten, da diese schon etwas älter sind und daher nicht mehr als sicher gelten. Anbei eine Beispielkonfiguration, diese muss je nach Endgerät ggf. auch angepasst werden.

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers = high
smtpd_tls_exclude_ciphers = ECDHE-RSA-RC4-SHA
smtpd_tls_mandatory_exclude_ciphers = ECDHE-RSA-RC4-SHA

Möchte man zudem die TLS Informationen auch im Header sehen, kann man noch folgende Option setzen:

smtpd_tls_received_header = yes

Verschlüsselung der Verbindung zwischen Servern

Damit wäre die Client <-> Server Kommunikation soweit verschlüsselt und viele denken sich sicher, das wäre es. Zwischen Mailservern findet aber natürlich ebenfalls Kommunikation statt, welche verschlüsselt werden soll. Dies wird entsprechend wie folgt aktiviert:

smtp_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtp_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtp_tls_security_level=may

Ähnlich wie bei der Client-Server-Kommunikation wird auch hier durch “may” besagt, dass Verschlüsselung genutzt wird insofern es möglich ist. Im Header kann man dies nun auch nachvollziehen, indem man nach ähnlichen Daten sucht:

Ohne Verschlüsselung (smtp_tls_security_level=none):
Received: from mail.domain1.tld (mail.domain1.tld [1.2.3.4]) by mail.domain2.tld (Postfix) with ESMTP id 1234567890

Mit Verschlüsselung (smtp_tls_security_level=may):
Received: from mail.domain1.tld (mail.domain1.tld [1.2.3.4]) by mail.domain2.tld (Postfix) with ESMTPS id 1234567890

Verschlüsselung der IMAP Verbindung

Damit wären wir fertig mit Postfix. Anbei noch einige Informationen für jene, die Dovecot nutzen um E-Mails von Ihrem Server per IMAP abzurufen, denn diese Verbindungen wollen ja auch noch verschlüsselt werden. Dies funktioniert sehr simpel – die Konfigurationen dafür finden wir normalerweise unterhalb von “/etc/dovecot/conf.d/“, meist handelt es sich dabei um die Datei “10-ssl.conf“.
Dort editieren, bzw. erweitern wir unsere entsprechenden Konfigurationen um folgende Zeilen:

ssl = yes
ssl_cert = </etc/ssl/certs/ssl-cert-snakeoil.pem
ssl_key = </etc/ssl/private/ssl-cert-snakeoil.key

Zudem nehmen wir noch einige Feinjustierungen vor, wie bereits zuvor bei Postfix. Beachten sollten wir aber, dass sich die Cipher-Liste je nach Endgerät auch ändern kann und man diese etwas anpassen muss. Diese dient hier nur als Beispiel.

ssl_protocols = !SSLv3 !SSLv2
ssl_cipher_list = EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4
ssl_dh_parameters_length = 2048

Auch hier gilt: Hat man bereits ein gültiges Zertifikat, kann man dieses hier gerne verwenden um Fehler im E-Mail Client zu verhindern. Nun ist noch in der “10-auth.conf” die folgende Einstellung wichtig:

disable_plaintext_auth = no

Damit wird ein ähnlicher Effekt erzielt, wie bereits bei Postfix wenn wir “may” als Option gesetzt haben. Wir können nun TLS nutzen, müssen es aber nicht zwingend. Wer hier auf absolute Nummer sicher gehen möchte, kann natürlich auch hier “yes” setzen.

Mit “dovecot -n” können wir die aktiven Einstellungen überprüfen.

Fabian Rothlauf

Autor: Fabian Rothlauf

Fabian kehrte nach seinem fünfjährigen Ausflug nach Weimar zurück in seine Geburtsstadt Nürnberg und hat im September 2016 bei NETWAYS als Systems Engineer im Hosting Support angefangen. Der Mopsliebhaber, der schon seit seinem 16. Lebensjahr ein Faible für Adminaufgaben hat, liebt außerdem Grillen, Metal und Computerspiele. An seinem Beruf reizt ihn vor allem die Abwechslung, gute Weiterentwicklungsmöglichketen und dass es selten mal einen Stillstand gibt. Nachdem er die Berufsschulzeit bereits mit Eric und Georg genießen durfte, freut er sich bei NETWAYS nun auf weitere nette Kollegen, interessante Aufgaben und neue Blickwinkel.

Hackathon auf der OSMC

Nachdem bis auf Ansible alle unsere Workshops bereits ausgebucht sind, kann die OSMC nicht mehr lange hin sein! Wohl wahr, in gut einem Monat geht’s schon los.
Und nun steht auch das Programm für den perfekten Konferenzausklang am Hackathon-Freitag. Fünf Themen haben wir ausgewählt, wir freuen uns natürlich auch über eure eigenen Vorschläge! Lasst euch diesen spannenden Hacker-Tag nicht entgehen und tüftelt mit Gleichgesinnten!

Das Programm steht auch schon länger fest, mit dabei sind unter anderem diese Highlights:

Die Workshops sind bis auf “Ansible – Configuration Management” schon restlos ausgebucht. Wer hier noch teilnehmen will, sollte also nicht lange zögern, sondern schnell klicken.
Alles weitere zur Konferenz findet ihr wie immer brandaktuell auf unserer Webseite!

Julia Hackbarth

Autor: Julia Hackbarth

Julia hat 2017 ihre Ausbildung zum Office Manager bei NETWAYS absolviert und währenddessen das Events&Marketing Team kennen und lieben gelernt. Besondere Freude bereiten ihr bei NETWAYS die tolle Teamarbeit und vielseitige Herausforderungen. Privat nutzt Julia ihre freie Zeit, um so oft wie möglich über's Handballfeld zu flitzen und sich auszutoben. In ihrer neuen Rolle als Marketing Managerin freut sie sich auf spannende Aufgaben und hofft, dass ihr die Ideen für kreative Texte nicht so schnell ausgehen.

10 Jahre bei NETWAYS

Vor einigen Tagen, also Anfang Oktober, hatte ich 10 jähriges Jubiläum bei NETWAYS. Eigentlich hatte ich nicht vor den Blog damit zu “belästigen”, da es ja meine private Sache ist. Meine persönliche “Überraschung” des Tages macht es jedoch zwingend notwendig hier Erwähnung zu finden.

Nach unserem zweiwöchentlichen Icinga-Meeting hat mich Blerim noch in ein Scheinmeeting (war mir in dem Moment nicht klar) gezogen und wir haben uns kurz über die Event-Planung für 2018 unterhalten.

Anschließend wollte ich mir einen Kaffee machen und musste feststellen das die Maschine nicht mehr da ist. Hmmm? Naja, erstmal die rumliegenden Bohnen weggesaugt und dann bin ich vor in Richtung meines Büros. Doch das ganze Büro war wie ausgestorben und auf einmal fing eine unter dem Tisch stehende Sonos an Musik zu brüllen (Natürlich die ganzen NETWAYS-Klassiker von und mit Mickie Krause). Ich wusste nicht wirklich was los ist und hab mich gleich der nächsten Übersprungshandlung gewidmet und ein bisschen die Kaffeetresen geputzt.

Irgendwann lief dann GmbH (Geh mal Bier holen) und dann kam es mir doch etwas komisch vor. So hab ich mich, nachdem ich schon mehrere Minuten in der Kamera beobachtet wurde, ins Kesselhaus begeben.

Dort wurde ich von versammelter Mannschaft begrüßt und durfte mir auf der Leinwand eine kurze Zusammenfassung der letzten 10 Jahre ansehen. Ich konnte mir die ein oder andere Träne nicht verdrücken und war wirklich überwältigt. Anschließend gab es, wie bei uns üblich, noch was zu trinken und phantastisches Essen.

Alles was ich in den letzten 10 Jahren gelernt habe und die Erfahrungen mit den vielen Menschen bei NETWAYS möchte ich keinen Tag missen. Es ist ein großes Privileg jeden Montag mit Freunde und Freunden zu arbeiten. Und wenn ich auch alles das mag was wir tun, liebe ich nur die Menschen die es machen. Vielen Dank an die NETWAYS Familie, ihr seid die Größten!

Bernd Erk

Autor: Bernd Erk

Bernd ist einer der Geschäftsführer der NETWAYS Gruppe und verantwortet das Tagesgeschäft. Da er in einem früheren Leben mit Java und Oracle Datenbanken gearbeitet hat, kümmert er sich immer noch gerne um das Thema Reporting - sowohl bei NETWAYS, als auch im Icinga Team. In seiner knappen Freizeit streitet er sich mit seinem Sohn, wer das iPad gerade benutzen darf und widmet sich der Weiterverbreitung der gehobenen fränkischen Schaschlik-Kultur.

NETWAYS stellt sich vor – Keya Kher

Hello, I am Keya Kher, a Social Media Marketer and newbie graphic designer. I am from Ahmedabad, India. Last December me and my husband adventurously moved to Germany. After coming here, first I started to learn German language and meanwhile I was also looking forward for career opportunities. A few months later I found my way to NETWAYS, they trusted my skills and made me part of their family.

In the beginning of a month, I started my training in event and marketing team. It’s been two weeks and I already feel home. Currently I work with Adobe Illustrator, Photoshop and InDesign. I enjoy my creative work here. All my colleagues are warm and welcoming. I got a chance to learn and grow with NETWAYS.

When I am not working, I’m probably hanging out with my husband. In weekend, we go out and explore the country together. I also like to read books, for example fiction novels. The Shiva Trilogy is one of my favorite book series.

Keya Kher

Autor: Keya Kher

Keya hat im Oktober ihr Praktikum im Marketing bei NETWAYS gestartet. Letzten Dezember startete Sie gemeinsam mit Ihrem Mann das “Abenteuer Deutschland”. Seitdem lernt Sie fleißig deutsch und fühlt sich bei NETWAYS schon jetzt pudelwohl. Sie hat schon viele Erfahrungen im Social Media Marketing und ist gerade dabei auch im Grafikdesign ein Profi zu werden. Wenn sie nicht gerade dabei ist, sich kreativ auszuleben, entdeckt sie die Stadt und schmökert gerne im ein oder anderen Büchlein. Ihr Favorit ist hierbei “The Shiva Trilogy”.

NETWAYS stellt sich vor – Riccardo Gringer

This entry is part 33 of 33 in the series Mitarbeitervorstellung

Name: Riccardo Gringer

Alter: 19

Position bei NETWAYS: Junior Developer

Was genau gehört zu Deinem Aufgabenbereich bei NETWAYS?

Momentan arbeite ich mich noch in Icinga 2 und Icinga Web 2 ein und werde damit in der Zukunft arbeiten. Natürlich gibt es etliche kleinere Nebenprojekte die auch bearbeitet werden müssen.

An welchen Projekten arbeitest Du gerade?

Zur Zeit bin ich wie schon gesagt noch an einer Einarbeitungsphase. Das heißt ich versuche mich in die verschiedenen Programme und Projekte einzuarbeiten um einen Überblick über alles zu bekommen. Aktuell sind das Icinga 2 und Icinga Web 2.

Was macht Dir an Deiner Arbeit am meisten Spaß?

Ich glaube am meisten Spaß macht bis jetzt das tüfteln an einer Lösung für ein Problem. Bei jedem Problem gibt es Kleinigkeiten die anders behandelt werden müssen. Es gibt ja schließlich nicht immer eine Lösung die man immer anwenden kann!

Was machst Du, wenn Du mal nicht bei NETWAYS bist?

Meine Freizeit verbringe ich zu (nahezu) gleichen Teilen mit meinen Katzen (2 Perser), meinem Heimkino und dem zocken. Das Heimkino ist dabei ein Langzeitprojekt seit mehreren Jahren. Natürlich verbringe ich an Wochenenden auch viel Zeit mit Freunden, vor allem zur Kerwazeit ;).

Wie geht es in Zukunft bei Dir weiter?

Die Ausbildung wird in den nächsten drei Jahren die größte Aufmerksamkeit bekommen. Schließlich muss ich außerhalb der Arbeitszeiten noch für die Berufsschule lernen und Hausaufgaben machen. Natürlich versuche ich während der Ausbildung so viel wie möglich zu lernen und mitzunehmen um danach erfolgreich als Developer arbeiten zu können.

 

Riccardo Gringer

Autor: Riccardo Gringer

Riccardo hat bei NETWAYS sein Praktikum im Development gestartet. In seiner Freizeit bastelt er mit Feuereifer an einem Heimkino und kümmert sich nebenbei darum, dass sich seine zwei Perserkatzen nicht langweilen. Außerdem schaut er gerne Filme, liest viel und spielt natürlich auch gerne Computer. Für seine Zeit bei NETWAYS wünscht er sich, sein Praktikum und seine Ausbildung erfolgreich zu bestreiten und dabei selbstverständlich auch genug Spaß und Freude mit den Kollegen zu haben!

Puppet 5 – how new is that!

This entry is part 1 of 1 in the series Puppet 5


Have you heard? In July this year Puppet released its’ new software stack of the agent, server and db package to manage, control and orchestrate your IT infrastructure. Enough time has passed for us to test, upgrade and implement it in our environment. With this series we want to introduce some of the new features and inform you about the tasks you need to know or be aware of should you wish to upgrade.

Let us start with the basic changes in the new version. These are for example the switch from PSON to JSON encoding if the agent downloads his information, catalogues or metadata. This will help you to better integrate Puppet in your setup when it needs to communicate with other tools. You can also see an improved performance in handling facts and reports, especially when it matters to process larger quantities.

Another point to mention is the usage of the newer Ruby in version 2.4. Since version 4, Puppet ships all it needs in its’ packages, so you need to reinstall your manually added Puppet agent gems.

And the last point for today should be the version numbering of the new packages. Puppet focuses on keeping all major versions of agent, server and db in one counter and follows the Semantic Versioning as closely as possible. Which is one of the reason for the huge jump in the Puppet server version.

Stay tuned to learn more. And if you need further help or want to learn more about Puppet take a look at our products or training course .

Ronny Biering

Autor: Ronny Biering

Vor NETWAYS arbeitete Ronny bei einem der großen deutschen Internet- und Hosting Provider. Hier betreut er zusammen mit seinen Kollegen aus dem Bereich Managed Services die Plattformen unserer Kunden. Im Gegensatz zu dem üblichen Admin-Cliche, gehört Fitness zu einer seiner Lieblingsfreizeitbeschäftigung.