AW: TLS_cipherlist vs. TLS_ciphers

Daniel daniel at ist-immer-online.de
Sa Aug 15 16:54:23 CEST 2015


Hi,

 

ich habe in meiner Konfig eher einfaches gefunden wie

 

smtpd_tls_mandatory_exclude_ciphers = aNULL, RC4

smtpd_tls_exclude_ciphers = aNULL, RC4

smtpd_tls_protocols = !SSLv2, !SSLv3

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3

 

Deine angepassten Parameter sehen besser bzw. konkreter aus.

 

Was ist mit TLS 1.0, sollte es nicht auch verweigert wegen wegen der Beast Atacke?

 

Wieso sollte es also nun am besten aussehen in der Konfig?

 

Gruß Daniel

 

Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Matthias Doering
Gesendet: Montag, 27. Juli 2015 20:33
An: postfixbuch-users at listen.jpberlin.de
Betreff: TLS_cipherlist vs. TLS_ciphers

 

Hallo Liste.

Ich habe noch Probleme bei Postfix zu erkennen welcher Default-Parameter von welchem angepassten Parameter überschrieben wird/ werden kann.

Bsp.:

Angepasste Parameter:
tls_high_cipherlist = aNULL:-aNULL:RC4-SHA:ALL:@STRENGTH
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
smtpd_tls_protocols = !SSLv2 !SSLv3
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA

Mit dieser Konfiguration sollte man ja die höchstmögliche Sicherheit in Punkto TLS erreichen. Soweit sehe Ich das jetzt mal als eine korrekte Annahme an. Freue mich aber gerne über Hinweise wie man da mehr Sicherheit rein bekommt ;)

Jetzt gibt es solche Default Parameter:
lmtp_tls_ciphers = export
smtp_tls_ciphers = export
smtpd_tls_ciphers = export
tls_export_cipherlist = aNULL:-aNULL:ALL:+RC4:@STRENGTH

Woher kann Ich jetzt wissen das diese Werte mit den obigen außer Kraft gesetzt werden wenn das so ist?
Ich überschreibe ja nicht diese Werte sondern "ähnliche" äquivalente Parameter.

Wie kann Ich jetzt ohne ein Test herausfinden ob das jetzt wirklich so ist wie Ich mir das denke?
Ich will das nur die high_cipherlist genutzt wird für max. Sicherheit aber, was ist mit (smtpd_tls_ciphers, smtp_tls_ciphers, lmtp_tls_ciphers) werden diese komplette ignoriert? Wenn ja, wieso (Zusammenhang)?
Testen kann man das ja so auch nur bedingt. Wer kennt schon wirklich alle Fälle die hier eintreten können?



-- 
Mit freundlichen Grüßen 
 
Matthias Döring
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150815/8e694cb7/attachment.html>


Mehr Informationen über die Mailingliste Postfixbuch-users