Усиление шифров

Если вы хотите изменить стандартные шифры и версии TLS, принимаемые в Postfix согласно его текущему выпуску, на более стойкие, вы можете добавить следующее в файл Postfix extra.conf:

tls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256
tls_preempt_cipherlist = yes

smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_ciphers = high
smtp_tls_mandatory_ciphers = high

smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_ciphers = high
smtpd_tls_mandatory_ciphers = high

Такая конфигурация позволит пройти текущие (2024-10-21) проверки конфигурации в таких сервисах, как Internet.nl.

Если вы хотите также настроить шифры для Dovecot, соответствующее руководство можно найти здесь.