Startssl & Postfix

Max Grobecker max.grobecker at ml.grobecker.info
Mo Dez 14 18:40:37 CET 2015


Hallo


Am 14.12.2015 um 17:06 schrieb sebastian at debianfan.de:

> Es kam die Meldung, dass die Unterstützung von ECDHE_RSA_WITH_RC4_128_SHA "gefährlich" ist.
> Wie schalte ich diese Unterstützung bei Postfix ab?

Ich habe bei mir in der main.cf folgende Einträge:

---------------------------------------------
smtpd_tls_eecdh_grade = strong
smtpd_tls_mandatory_protocols = TLSv1, TLSv1.1, TLSv1.2

; Die hier genannten Ciphers werden NICHT verwendet.
smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA

; Der Server (also du) bestimmst die Ciphers resp. deren Reihenfolge
tls_preempt_cipherlist = yes

; Optional: Selbst generierte DH-Parameter benutzen
smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dhparams2k.pem
---------------------------------------------



> Dec 14 16:28:06 debian postfix/smtp[1818]: Anonymous TLS connection established to mail07.arbeitgeber.de[94.26.172.35]:25: TLSv1 with cipher ADH-AES256-SHA (256/256 bits)
> 
> Kann ich dann davon ausgehen, dass die SSL-Verbindung korrekt funktioniert?

Ja, spätestens wenn Postfix die verwendeten Ciphers ins Log schreibt weißt du dass verschlüsselt wird :-)



Viele Grüße aus dem Tal
 Max

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20151214/5075798a/attachment.asc>


Mehr Informationen über die Mailingliste Postfixbuch-users