Sur une installation basique de PMG, l’ensemble des versions TLS ainsi que les suites algorithmiques cryptographiques sont disponibles alors que certaines sont largement obsolètes.
Pour vérifier la configuration de son serveur, il est possible de faire un test sur https://cryptcheck.fr/ et on constate que le résultat est vite catastrophique en obtenant la pire lettre de notation, G.
Voici comment sécuriser un peu plus tout ça.
Prérequis
- Proxmox Mail Gateway configuré
- Utilisé le système de template dans PMG
Configuration
Editer le fichier main.cf.in
sudo nano /etc/pmg/templates/main.cf.in
Ajouter le contenu suivant :
# Desactiver protocoles non secure smtp_tls_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1 smtp_tls_mandatory_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1 smtpd_tls_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1 smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1 lmtp_tls_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1 lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1 # Forcer le niveau et specifier les algorithmes cryptographiques smtp_tls_ciphers = high smtp_tls_mandatory_ciphers = high smtpd_tls_ciphers = high smtpd_tls_mandatory_ciphers = high tls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:TLS_AES_256_GCM_SHA384:ECDHE-RSA-CHACHA20-POLY1305:TLS_CHACHA20_POLY1305_SHA256:ECDHE-RSA-AES128-GCM-SHA256:TLS_AES_128_GCM_SHA256 # Forcer le système à utiliser la liste spécifiée tls_preempt_cipherlist = yes # Forcer le niveau pour EECDH smtpd_tls_eecdh_grade = ultra # Desactiver la compression SSL tls_ssl_options = NO_COMPRESSION
Recharger la configuration pour charger les modifications :
sudo pmgconfig sync --restart 1
Refaire un test de son domaine pour vérifier que les changements sont bien pris en compte.