====== Supporto SSL Postfix ======

Per verificare i protocolli di cifratura supportati dal server ad esempio sulla connessione  **587/TCP submission** si può utilizzare **nmap** con lo script **ssl-enum-ciphers** (forniti dai pacchetti Debian **nmap** e **nmap-common** rispettivamente).

Questo è un esempio su una **Debian 12 Bookworm** con **Postfix 3.7.6**:

<code>
nmap --script ssl-enum-ciphers -p 587 mail.rigacci.org | grep TLSv
|   TLSv1.0: 
|   TLSv1.1: 
|   TLSv1.2: 
|   TLSv1.3: 
</code>

Su una **Debian 9 Stretch** con **Postfix 3.1.15** manca il protocollo **TLSv1.3**.

È possibile fare la stessa interrogazione anche sulla porta **25/TCP smtp**, anche se in generale la crittografia sulla posta in arrivo dovrebbe essere facoltativa (maggio 2024).

Ecco alcuni parametri di **Postfix** relativi ai protocolli di cifratura supportati (**Postfix 3.7.6** su **Debian 12 Bookworm**):

<file>
smtpd_tls_security_level = may
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_exclude_ciphers =
smtpd_tls_mandatory_protocols = >=TLSv1
smtpd_tls_protocols = >=TLSv1
tls_medium_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH
</file>

Gli stessi parametri predefiniti in Debian **Postfix 3.1.15**:

<file>
smtpd_tls_security_level = may
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_exclude_ciphers =
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
tls_medium_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH
</file>