TLS-Konfiguration¶
Let's-Encrypt + Cipher-Suite-Einstellungen für eingehende Verbindungen (SMTP-TLS, HTTPS-UI, IMAP/POP3 wenn Backend-Mailserver Dovecot ist).
Sektionen¶
Let's-Encrypt-Domains¶
Liste der Domains für die ACME-Zertifikate ausgestellt werden. Default: der Cluster-Hauptname und alle MX-Hostnames der konfigurierten Domains.
- Domain — z.B.
mailguard.example.com - Status — issued / pending / failed
- Expires-At — Renewal startet automatisch 30 Tage vor Ablauf
- Last-Renewal — Zeitstempel + Status
Cipher-Suites¶
Drei Profile vorgegeben:
- Modern — nur TLS 1.3, ECDHE-only, AEAD-only
- Intermediate (Default) — TLS 1.2 + 1.3, breiter Cipher-Pool für Kompatibilität mit älteren Mailservern
- Old-Compatibility — TLS 1.0+ — nur wenn unbedingt nötig (manche Legacy-Mailserver)
HSTS¶
HTTP-Strict-Transport-Security-Header für das Admin-UI. Default: 1 Jahr inkl. Subdomains. Vorsicht beim ersten Aktivieren — danach ist Rollback bis zum Ablauf des HSTS-Zeitraums nicht mehr möglich.
DANE¶
DNSSEC-Authenticated Named Entity-Toggle. Wenn aktiv und für eine Empfänger-Domain ein TLSA-Record existiert, wird die TLS-Verbindung zwingend gegen den TLSA-Hash validiert. Schützt gegen MitM-Angriffe.