这Postfix 文档内容如下:
对于 Postfix ≥ 3.7,使用 OpenSSL 版本 3.0.0 或更高版本构建的版本,如果参数值为空或“自动”,则 DH 参数选择将委托给 OpenSSL 库,该库根据 TLS 握手选择适当的参数。
我还发现了这一点OpenSSL 文档:
如果开启“自动”DH 参数,则所选参数将与服务器证书关联的密钥大小一致。如果没有证书(例如 PSK 密码套件),则它将与协商的对称密码密钥的大小一致。
在以前的版本中,我相信最佳实践(例如,Mozilla 推荐对于 Postfix 3.4) 来说,使用ffdhe2048DH 参数定义如下RFC 7919。但是现在,Postfix 和 OpenSSL 都建议不要更改此选项的默认“自动”。
因此,我不确定我是否还应该明确设置 RFC 7919 中的 DH 参数。我不确定 OpenSSL 中的“自动”DH 参数究竟来自哪里。我在 OpenSSL 中找到了 RFC 7919 参数源代码,但我仍然不确定这是否是“自动”选项将使用的。