Posts by fulltilt

    You can use this listener to enforce TLS for submission:

    https://github.com/i-MSCP/imsc…postfix_submission_tls.pl


    This entry should be sufficient:

    Code
    1. -o smtpd_tls_security_level=encrypt

    And I think, you do not want to use "tls_wrappermode" for submission - all latest mail clients are correctly using StartTLS.

    sorry, I meant when tls_wrappermode is enabled in the smtps part - default imscp configuration when TLS is enabled:

    Code
    1. smtps inet n - y - - smtpd
    2. -o smtpd_tls_wrappermode=yes
    3. -o smtpd_sasl_auth_enable=yes
    4. -o smtpd_client_restrictions=permit_sasl_authenticated,reject


    OK, so the listener does the same except:

    -o smtpd_enforce_tls=yes

    what would be your recommendation with extra TLS parameter in use with debian buster for the submission part in master.cf?


    main.cf is set to:

    Code
    1. smtpd_tls_security_level = may
    2. smtp_tls_security_level = may
    3. smtpd_tls_received_header = yes
    4. smtpd_use_tls = yes
    5. smtpd_tls_auth_only = yes
    6. tls_preempt_cipherlist = yes

    should following parameters be integrated into master.cf when using tls_wrappermode for submission?

    Code
    1. -o smtpd_tls_security_level=encrypt
    2. -o smtpd_enforce_tls=yes


    complete part

    Moin,

    update auf Buster hab auch grad versucht. Kannst Du die Patches mal auflisten ? Vllt. hilft das ja auch Nuxwin falls er sich noch an die Arbeit macht ;-)

    im Grunde ist alles wichtige hier zu finden:

    HowTo: I-MSCP 1.5.3 installation on Debian 10


    Postfix, Dovecot, Proftpd, Nginx alles auf TLS min. v 1.2 umstellen

    Letsncrypt, PHPswitcher müsen entsprechend angepasst werden


    Im obigen Thread findet man am Ende noch weitere Infos dazu.


    Post installation tasks für dovecot und postfix z.b. DH pem generation habe ich ein Script in postinstall tasks included was dann via sed auch die conf ändert ... kann man alles auch manuell machen

    Code
    1. ssl_min_protocol = TLSv1.2
    2. ssl_dh=</etc/dovecot/dh.pem


    Wäre vieleicht besser alle Files auf einen Github fork zu laden, wenn ich etwas Zeit finde suche ich mal alles zusammen


    18.04 LTS wird ja noch bis Mitte nächsten Jahres supported, Debian9 LTS noch bis Ende Juni 22 ... also ich habe derweil alles für Buster angepasst, ist halt viel Fummelei mit den Configs für Postfix, Dovecot, Apache, ProFTP auch wg. TLS & Cyphers aber läuft soweit stabil ... Debian11 und Ubuntu 22 habe ich noch nicht getestet aber ich könnte mir vorstellen das es auch damit funktioniert, Panel vermutlich nur mit PHP 7.3, bei einem Test mit PHP 7.4 gab es Fehlermeldungen im Admin ... das Panel könnte auch weiterhin über PHP 7.0 laufen wenn die SURY.ORG sourcen verwendet werden wg. Updates.

    mail_version = 3.4.14


    do you think that could cause a problem when using the single .pem file > imscp_services.pem ?


    see:

    http://www.postfix.org/TLS_README.html

    With Postfix ≥ 3.4, specify instead a single file that holds the key followed by the corresponding certificate and any associated issuing certificates, leaving the "smtpd_tls_cert_file" and "smtpd_tls_key_file" and related DSA and ECDSA parameters empty.

    Code
    1. smtpd_tls_chain_files = /etc/postfix/rsachain.pem
    2. smtpd_tls_cert_file =
    3. smtpd_tls_key_file =

    - IMSCP: 1.5.3

    - Distribution: Debian 10


    I see many of "lost connection after EHLO from unknown" messages in my mail.log


    I use my own certificate for imscp_services.pem. Is this procedure correct for use with Buster?

    immuniweb shows +A score but also: (CERTIFICATE CHAIN) Server sends an unnecessary root certificate.

    https://www.immuniweb.com/ssl/


    Certificate PEM procedure:

    Code
    1. cd /root
    2. openssl req -new -nodes -keyout imscp.key -out imscp.csr -newkey rsa:2048
    3. cat imscp.key host1.mydomain.tld.crt host1.mydomain.tld.ca-bundle > imscp_services.pem
    4. cp imscp_services.pem /etc/imscp
    5. chmod 640 /etc/imscp/imscp_services.pem
    6. chmod 400 imscp.key

    main.cf paths:

    Code
    1. smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
    2. smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
    3. smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
    4. compatibility_level = 2
    5. smtpd_tls_cert_file = /etc/imscp/imscp_services.pem
    6. smtpd_tls_key_file = /etc/imscp/imscp_services.pem


    is that all correct?