[Postfixbuch-users] sslv2 und schwache ciphers

Andreas Schulze andreas.schulze at datev.de
Mi Nov 9 09:18:59 CET 2011


Am 08.11.2011 16:08 schrieb Hajo Locke:
> smtpd_enforce_tls = yes
Auf einem MX ist das verboten:
 -> http://www.postfix.org/postconf.5.html#smtpd_enforce_tls

Das gleiche gilt übrigens auch beim Versand. Man muß davon ausgehen,
dass der MX der Gegenstelle nur Klartext macht.
 -> http://www.postfix.org/postconf.5.html#smtp_enforce_tls

Nun zu 'week encryption'

> smtpd_tls_mandatory_ciphers = medium
ist default

> smtpd_tls_mandatory_protocols = SSLv3 TLSv1 !SSLv2
ist gleichbedeutend mit dem default (SSLv3, TLSv1)

smtpd_tls_exclude_ciphers ist das was Du suchst.
Hier schaltest Du unsichere Verschlüsselungs und Hashmethoden aus:

smtpd_tls_exclude_ciphers = aNULL, DES, RC2, RC4, MD5

Auf einem Public MX (und Submission-Server für Kunden) muß man jedoch RC4 und MD5
zulassen. Sonst können ExcahngeServer und ältere Outlook-Versionen nichts mehr
einliefern. (Davon, dass WebServer jetzt wieder auf RC4 statt AES zurückgebaut
werden, sollte man sich nicht stören lassen. Das B in BEAST steht für Browser ...)

Einige Security-Scanner meckern auch noch, wenn Du ein Zertifikat nutzt,
welches noch MD5 als Hashmethode hat oder wenn die ausstellende CA
(z.B. cacert.org) noch MD5 in der Root hat.

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen



Mehr Informationen über die Mailingliste Postfixbuch-users