AW: Startssl & Postfix

[Daniel]

Hi,

sonst probiere es mal mit

smtp_tls_ciphers = high
smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtp_tls_loglevel = 1
smtp_tls_note_starttls_offer = yes
smtp_tls_protocols = !SSLv2, !SSLv3

smtpd_tls_ciphers = high
smtpd_tls_eecdh_grade = strong
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_mandatory_ciphers= high
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3

Gruß Daniel

-----Ursprüngliche Nachricht-----
Hallo

Am 14.12.2015 um 17:06 schrieb sebastian at debianfan.de:

> Es kam die Meldung, dass die Unterstützung von ECDHE_RSA_WITH_RC4_128_SHA "gefährlich" ist.
> Wie schalte ich diese Unterstützung bei Postfix ab?

Ich habe bei mir in der main.cf folgende Einträge:

---------------------------------------------
smtpd_tls_eecdh_grade = strong
smtpd_tls_mandatory_protocols = TLSv1, TLSv1.1, TLSv1.2

; Die hier genannten Ciphers werden NICHT verwendet.
smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA

; Der Server (also du) bestimmst die Ciphers resp. deren Reihenfolge
tls_preempt_cipherlist = yes

; Optional: Selbst generierte DH-Parameter benutzen
smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dhparams2k.pem
---------------------------------------------

> Dec 14 16:28:06 debian postfix/smtp[1818]: Anonymous TLS connection established to mail07.arbeitgeber.de[94.26.172.35]:25: TLSv1 with cipher ADH-AES256-SHA (256/256 bits)
> 
> Kann ich dann davon ausgehen, dass die SSL-Verbindung korrekt funktioniert?

Ja, spätestens wenn Postfix die verwendeten Ciphers ins Log schreibt weißt du dass verschlüsselt wird :-)

Viele Grüße aus dem Tal
 Max