bg-tutorials

So installieren Sie ein SSL-Zertifikat auf Postfix

Diese Anleitung enthält detaillierte Anweisungen zur Installation eines SSL-Zertifikats für den Postfix Mail Transfer Agent. Sie enthält auch nützliche Informationen darüber, wo Sie das beste SSL-Zertifikat für Postfix kaufen können.

Wenn Sie Ihren CSR-Code bereits erstellt haben und nur nach einer Installationsanleitung suchen, können Sie den ersten Teil überspringen.

Inhaltsübersicht

  1. Erzeugen eines CSR-Codes auf Postfix
  2. Installieren Sie ein SSL-Zertifikat auf Postfix
  3. Testen Sie Ihre Postfix-Installation
  4. Wo kann man das beste SSL-Zertifikat für Postfix kaufen?
Bild des Postfix-E-Mail-Servers mit eingebettetem Text 'Secure Email Server Configuration Guide'.

Wir haben auch ein Video aufgenommen, das Sie durch den gesamten Prozess führt. Sie können das Video ansehen, die Anleitung lesen oder beides tun. Sie können sich das Video unten ansehen.

Erzeugen eines CSR-Codes auf Postfix

Um ein SSL-Zertifikat von einer vertrauenswürdigen CA (Certificate Authority) zu erhalten, müssen Sie eine CSR (Certificate Signing Request) bei Ihrem SSL-Anbieter einreichen. CSR ist ein verschlüsselter Textblock mit Ihren Kontaktdaten wie Website und Unternehmensinformationen.

Sie haben zwei Möglichkeiten:

  1. Verwenden Sie unseren CSR-Generator, um den CSR automatisch zu erstellen.
  2. Folgen Sie unserer Schritt-für-Schritt-Anleitung, um eine CSR in Postfix zu erstellen.

Während des Bestellvorgangs bei Ihrem SSL-Anbieter müssen Sie die CSR-Datei öffnen und den gesamten Text in das entsprechende Feld einfügen. Verwenden Sie einen beliebigen Texteditor wie z. B. Notepad, um den CSR-Code zu öffnen.

Installieren Sie ein SSL-Zertifikat auf Postfix

Nachdem Ihre CA Ihre SSL-Anfrage validiert und die erforderlichen SSL-Dateien an Ihren Posteingang geschickt hat, können Sie mit der SSL-Installation beginnen. Bitte führen Sie die folgenden Schritte aus:

Schritt 1. Bereiten Sie Ihre SSL-Dateien vor

Postfix unterstützt SSL-Zertifikate im X.509-Format. Für eine korrekte Installation sind die folgenden Dateien erforderlich:

  • Ihre private Schlüsseldatei: Sie haben die Schlüsseldatei zusammen mit dem CSR-Code auf Ihrem Server generiert.
  • Ihr primäres SSL-Zertifikat: Es befindet sich in dem ZIP-Ordner, den Sie von der CA erhalten haben. Prüfen Sie Ihre E-Mail und laden Sie Ihr SSL-Zertifikat herunter und extrahieren Sie es. Für die Zwecke dieser Demonstration nennen wir die primäre SSL-Zertifikatsdatei .crt
  • Die Zwischen-CA: Dies ist die CA-Bundle-Datei (.ca-bundle) aus demselben ZIP-Ordner wie Ihr SSL-Zertifikat. In unserem Fall werden wir die Datei intca.crt nennen

Hinweis: Sie können alle drei Dateien in einem einzigen Verzeichnis ablegen. Zum Beispiel /etc/postfix.

Schritt 2. Hinzufügen des SSL-Zertifikats zu Postfix

Abhängig von Ihrer Postfix-Version gibt es zwei Möglichkeiten:

Für Postfix 3.4 und neuere Versionen

Erstellen Sie eine „Kettendatei“, die den Schlüssel, das Serverzertifikat und die Zwischenprodukte in genau dieser Reihenfolge enthält.

cat /path/to/privkey.key /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/rsachain.pem

Diese moderne Methode vermeidet Rollover-Probleme und arbeitet sauber mit dem Postfix smtpd_tls_chain_files.

Alternativ (alle Versionen)

Halten Sie den Schlüssel getrennt und kombinieren Sie nur das Serverzertifikat mit dem/den Zwischenzertifikat(en):

cat /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/server.pem

Sie referenzieren sowohl dieses Bundle als auch den privaten Schlüssel in Ihrer Postfix-Konfiguration.

Schritt 3: Konfigurieren Sie Postfix

Bearbeiten Sie /etc/postfix/main.cf und wählen Sie den Konfigurationsstil, der zu Ihrer Einrichtung passt:

Option A – Postfix ≥ 3.4 (empfohlen):

smtpd_tls_chain_files = /etc/postfix/rsachain.pem
smtpd_tls_security_level = may

Option B – Vermächtnis

smtpd_tls_cert_file = /etc/postfix/server.pem
smtpd_tls_key_file = /etc/postfix/privkey.key
smtpd_tls_security_level = may

Verwenden Sie may für eingehendes SMTP an Port 25. Setzen Sie encrypt nicht auf öffentliche MX-Server, da dies die Kompatibilität mit reinen Absendern unterbricht.

Postfix deaktiviert bereits SSLv2/SSLv3 und schwache Chiffren, so dass zusätzliche Blacklists nicht erforderlich sind, es sei denn, Sie benötigen Client-Cert-Authentifizierung.

Sichern Sie den Einreichungsdienst (Port 587)

Wenn Ihre Benutzer E-Mails über Postfix senden (über Outlook, Thunderbird, Apple Mail usw.), stellen sie eine Verbindung über Port 587 her. Dies ist der Übermittlungsport, im Gegensatz zu Port 25, der für die Server-zu-Server-Zustellung vorgesehen ist.

Hier können Sie strengere Regeln durchsetzen, da nur Ihre authentifizierten Benutzer betroffen sind. Fügen Sie unter /etc/postfix/main.cf hinzu:

smtpd_tls_mandatory_protocols = >=TLSv1.2

Stellen Sie unter /etc/postfix/master.cf sicher, dass die Übermittlung aktiviert ist, und Sie können sie wie folgt überschreiben:

submission inet n - n - - smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_tls_mandatory_protocols=>=TLSv1.2

Schritt 4: Postfix neu laden

Wenden Sie die Änderungen an, indem Sie Postfix neu laden:

postfix reload
# or
systemctl reload postfix

Schritt 5: Überprüfen Sie das Zertifikat

Überprüfen Sie, ob Postfix die richtige Kette mit OpenSSL bedient:

openssl s_client -starttls smtp -connect yourdomain.com:25 -servername yourdomain.com </dev/null \
| openssl x509 -noout -issuer -subject

Sie sollten Ihr Serverzertifikat zusammen mit der richtigen Ausstellerkette sehen. Herzlichen Glückwunsch, Sie haben erfolgreich ein SSL-Zertifikat für Postfix installiert.

Testen Sie Ihre SSL-Installation

Nach der Installation eines SSL-Zertifikats für Postfix ist es immer ratsam, die neue Installation auf mögliche Fehler oder Schwachstellen zu überprüfen, um auf Nummer sicher zu gehen. Mit diesen leistungsstarken SSL-Tools erhalten Sie sofortige Berichte über alle Aspekte Ihres SSL-Zertifikats und seiner Konfiguration.

Wo kann man das beste SSL-Zertifikat für Postfix kaufen?

Sie haben Ihr Ziel bereits erreicht! Hier bei SSL Dragon bieten wir die größte Auswahl an SSL-Produkten zu unglaublich niedrigen Preisen. Alle unsere Zertifikate sind mit dem Postfix Mail Transfer Agent kompatibel.

Wenn Sie nicht wissen, welches Zertifikat Sie wählen sollen, oder wenn Sie Schwierigkeiten haben, das perfekte Produkt für Ihre Website zu finden, werden unser schneller und intuitiver SSL-Assistent und unsere erweiterten Zertifikatsfilter-Tools die Suche effizienter und angenehmer machen.

Wenn Sie Ungenauigkeiten feststellen oder diese SSL-Installationsanleitung um weitere Details ergänzen möchten, können Sie uns gerne Ihr Feedback an [email protected] senden. Wir freuen uns über Ihren Beitrag! Ich danke Ihnen.

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

A detailed image of a dragon in flight
Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.