Startssl & Postfix
Max Grobecker
max.grobecker at ml.grobecker.info
Mo Dez 14 18:40:37 CET 2015
Hallo
Am 14.12.2015 um 17:06 schrieb sebastian at debianfan.de:
> Es kam die Meldung, dass die Unterstützung von ECDHE_RSA_WITH_RC4_128_SHA "gefährlich" ist.
> Wie schalte ich diese Unterstützung bei Postfix ab?
Ich habe bei mir in der main.cf folgende Einträge:
---------------------------------------------
smtpd_tls_eecdh_grade = strong
smtpd_tls_mandatory_protocols = TLSv1, TLSv1.1, TLSv1.2
; Die hier genannten Ciphers werden NICHT verwendet.
smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
; Der Server (also du) bestimmst die Ciphers resp. deren Reihenfolge
tls_preempt_cipherlist = yes
; Optional: Selbst generierte DH-Parameter benutzen
smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dhparams2k.pem
---------------------------------------------
> Dec 14 16:28:06 debian postfix/smtp[1818]: Anonymous TLS connection established to mail07.arbeitgeber.de[94.26.172.35]:25: TLSv1 with cipher ADH-AES256-SHA (256/256 bits)
>
> Kann ich dann davon ausgehen, dass die SSL-Verbindung korrekt funktioniert?
Ja, spätestens wenn Postfix die verwendeten Ciphers ins Log schreibt weißt du dass verschlüsselt wird :-)
Viele Grüße aus dem Tal
Max
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 819 bytes
Beschreibung: OpenPGP digital signature
URL : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20151214/5075798a/attachment.asc>
Mehr Informationen über die Mailingliste Postfixbuch-users