AW: TLS_cipherlist vs. TLS_ciphers
Daniel
daniel at ist-immer-online.de
Mo Aug 17 05:42:42 CEST 2015
Hi,
ich habe auf <https://www.rootforum.org/forum/viewtopic.php?t=54550> https://www.rootforum.org/forum/viewtopic.php?t=54550
folgendes gefunden für Postfix:
smtp_tls_ciphers = medium
smtp_tls_exclude_ciphers = CAMELLIA, RC4, 3DES, IDEA, SEED, PSK, SRP, DSS, eNULL, aNULL
smtp_tls_mandatory_ciphers = medium
smtp_tls_mandatory_exclude_ciphers = CAMELLIA, RC4, 3DES, IDEA, SEED, PSK, SRP, DSS, eNULL, aNULL
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_security_level = may
smtp_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_tls_ciphers = medium
smtpd_tls_eecdh_grade = strong
smtpd_tls_exclude_ciphers = CAMELLIA, RC4, 3DES, IDEA, SEED, PSK, SRP, DSS, eNULL, aNULL
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_exclude_ciphers = CAMELLIA, RC4, 3DES, IDEA, SEED, PSK, SRP, DSS, eNULL, aNULL
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_use_tls = yes
tls_daemon_random_bytes = 64
tls_high_cipherlist = EECDH+AES256 EECDH+AES128 EDH+AES256 EDH+AES128
tls_medium_cipherlist = EECDH+AES256 EECDH+AES128 EDH+AES256 EDH+AES128 EECDH EDH
tls_preempt_cipherlist = yes
tls_random_bytes = 64
tls_ssl_options = NO_COMPRESSION
Was ist denn nun am besten zu empfehlen nach <https://www.rootforum.org/forum/viewtopic.php?t=54550#p327893> Heartbleed, Poodle und
Beast?
Gruß Daniel
Von: Daniel [mailto:daniel at ist-immer-online.de]
Gesendet: Samstag, 15. August 2015 16:54
An: 'Diskussionen und Support rund um Postfix'
Betreff: AW: TLS_cipherlist vs. TLS_ciphers
Hi,
ich habe in meiner Konfig eher einfaches gefunden wie
smtpd_tls_mandatory_exclude_ciphers = aNULL, RC4
smtpd_tls_exclude_ciphers = aNULL, RC4
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
Deine angepassten Parameter sehen besser bzw. konkreter aus.
Was ist mit TLS 1.0, sollte es nicht auch verweigert wegen wegen der Beast Atacke?
Wieso sollte es also nun am besten aussehen in der Konfig?
Gruß Daniel
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Matthias Doering
Gesendet: Montag, 27. Juli 2015 20:33
An: postfixbuch-users at listen.jpberlin.de
Betreff: TLS_cipherlist vs. TLS_ciphers
Hallo Liste.
Ich habe noch Probleme bei Postfix zu erkennen welcher Default-Parameter von welchem angepassten Parameter überschrieben wird/
werden kann.
Bsp.:
Angepasste Parameter:
tls_high_cipherlist = aNULL:-aNULL:RC4-SHA:ALL:@STRENGTH
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5,
CBC3-SHA
smtpd_tls_protocols = !SSLv2 !SSLv3
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5,
CBC3-SHA
Mit dieser Konfiguration sollte man ja die höchstmögliche Sicherheit in Punkto TLS erreichen. Soweit sehe Ich das jetzt mal als eine
korrekte Annahme an. Freue mich aber gerne über Hinweise wie man da mehr Sicherheit rein bekommt ;)
Jetzt gibt es solche Default Parameter:
lmtp_tls_ciphers = export
smtp_tls_ciphers = export
smtpd_tls_ciphers = export
tls_export_cipherlist = aNULL:-aNULL:ALL:+RC4:@STRENGTH
Woher kann Ich jetzt wissen das diese Werte mit den obigen außer Kraft gesetzt werden wenn das so ist?
Ich überschreibe ja nicht diese Werte sondern "ähnliche" äquivalente Parameter.
Wie kann Ich jetzt ohne ein Test herausfinden ob das jetzt wirklich so ist wie Ich mir das denke?
Ich will das nur die high_cipherlist genutzt wird für max. Sicherheit aber, was ist mit (smtpd_tls_ciphers, smtp_tls_ciphers,
lmtp_tls_ciphers) werden diese komplette ignoriert? Wenn ja, wieso (Zusammenhang)?
Testen kann man das ja so auch nur bedingt. Wer kennt schon wirklich alle Fälle die hier eintreten können?
--
Mit freundlichen Grüßen
Matthias Döring
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150817/1a553e89/attachment.html>
Mehr Informationen über die Mailingliste Postfixbuch-users