[Postfixbuch-users] TLS Konfiguration Postfix

[Andreas Schulze]

Am 23.11.2013 10:54 schrieb Christian Felsing:
> Was passiert nun, wenn ein SMTP Client mit z.B. Export (DES 56 Bit)
> kommt? Erfolgt dann ein Fallback auf "keine Verschlüsselung" oder endet
> das dann mit irgendeiner 5xx Meldung?
it depends ...

Versand: (postfix SMTP-Client)
wenn Du RC4 und DES 56 Bit nicht erlaubst, ein Server nix anderes kann und du 'nur' opportunistische
Verschlüsselung eingestellt hast, fällt postfix auf plaintext zurück.
Es gibt dann so Logmelgung "kein übereinstimmung bei den ciphersuiten", in Englisch halt...

Empfang:
wenn Du RC4 und DES 56 Bit nicht anbietest und ein externer Client damit nicht klar kommt,
kannst Du dem nur das STARTTLS ausblenden. (smtpd_discard_ehlo_keyword_address_maps)

smtp_tls_protocols = !SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2
das ist quasi der default, kannst Du weglassen

smtp_tls_ciphers = high
smtp_tls_exclude_ciphers = RC4, LOW, EXP, MD5, aNULL, eNULL
ich hahe meist smtp(d)?_tls_ciphers = medium und kaum Probleme ...

Einstellen, Logs beobachten, Plan B zurechtlegen

Schönes Wochenende
Andreas

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen