[Postfixbuch-users] SSLv3
Roland Schnabel
info at rolandschnabel.de
Do Okt 16 23:46:54 CEST 2014
Nach dem Gerangel um SSLv3 in den letzten Tagen hätte ich da mal ein
paar Fragen dazu:
Ich habe opportunistisches TLS konfiguriert und SSLv3 deaktiviert:
smtp_tls_security_level = may
smtp_tls_protocols = !SSLv2, !SSLv3
Dies würde bedeuten, dass falls beim Versenden einer Email der
empfangende Mailserver nur SSLv3 akzeptiert, der TLS-Handshake
fehlschlägt und somit gar keine Verschlüsselung eingesetzt wird. Macht
es deshalb überhaupt Sinn SSLv3 zu deaktivieren? Besser eine anfällige
SSLv3-Verschlüsselung als gar keine?
Meine zweite Frage:
In einem Testszenario haben sowohl der sendende als auch der empfangende
Postfix das SSLv3-Protokoll komplett deaktiviert. Trotzdem finde ich in
den Logs folgende Einträge:
Oct 15 11:04:16 xxx postfix/smtp[23594]: SSL_connect:SSLv3 read server
certificate A
Oct 15 11:04:16 xxx postfix/smtp[23594]: SSL_connect:SSLv3 read server
key exchange A
Oct 15 11:04:16 xxx postfix/smtp[23594]: SSL_connect:SSLv3 read server
done A
Oct 15 11:04:16 xxx postfix/smtp[23630]: initializing the client-side
TLS engine
Oct 15 11:04:16 xxx postfix/smtp[23594]: SSL_connect:SSLv3 write client
key exchange A
Oct 15 11:04:16 xxx postfix/smtp[23594]: SSL_connect:SSLv3 write change
cipher spec A
Oct 15 11:04:16 xxx postfix/smtp[23631]: initializing the client-side
TLS engine
Oct 15 11:04:16 xxx postfix/smtp[23594]: SSL_connect:SSLv3 write finished A
Oct 15 11:04:16 xxx postfix/smtp[23594]: SSL_connect:SSLv3 flush data
Oct 15 11:04:16 xxx postfix/smtp[23589]: SSL_connect:SSLv3 write client
key exchange A
Oct 15 11:04:16 xxx postfix/smtp[23589]: SSL_connect:SSLv3 write change
cipher spec A
Oct 15 11:04:16 xxx postfix/smtp[23589]: SSL_connect:SSLv3 write finished A
Oct 15 11:04:16 xxx postfix/smtp[23589]: SSL_connect:SSLv3 flush data
Oct 15 11:04:16 xxx postfix/smtp[23617]: SSL_connect:SSLv3 read server
hello A
Was haben diese SSL_connect-Einträge zu bedeuten, und wieso wird SSLv3
benutzt obwohl dies auf beiden Seiten deaktiviert wurde?
Bin für jeden Hinweis dankbar,
Roland
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : smime.p7s
Dateityp : application/pkcs7-signature
Dateigröße : 4258 bytes
Beschreibung: S/MIME Cryptographic Signature
URL : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141016/449945ce/attachment.p7s>
Mehr Informationen über die Mailingliste Postfixbuch-users