AW: Startssl & Postfix
Daniel
daniel at ist-immer-online.de
Mo Dez 14 20:11:29 CET 2015
Hi,
sonst probiere es mal mit
smtp_tls_ciphers = high
smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtp_tls_loglevel = 1
smtp_tls_note_starttls_offer = yes
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_ciphers = high
smtpd_tls_eecdh_grade = strong
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_mandatory_ciphers= high
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
Gruß Daniel
-----Ursprüngliche Nachricht-----
Hallo
Am 14.12.2015 um 17:06 schrieb sebastian at debianfan.de:
> Es kam die Meldung, dass die Unterstützung von ECDHE_RSA_WITH_RC4_128_SHA "gefährlich" ist.
> Wie schalte ich diese Unterstützung bei Postfix ab?
Ich habe bei mir in der main.cf folgende Einträge:
---------------------------------------------
smtpd_tls_eecdh_grade = strong
smtpd_tls_mandatory_protocols = TLSv1, TLSv1.1, TLSv1.2
; Die hier genannten Ciphers werden NICHT verwendet.
smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
; Der Server (also du) bestimmst die Ciphers resp. deren Reihenfolge
tls_preempt_cipherlist = yes
; Optional: Selbst generierte DH-Parameter benutzen
smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dhparams2k.pem
---------------------------------------------
> Dec 14 16:28:06 debian postfix/smtp[1818]: Anonymous TLS connection established to mail07.arbeitgeber.de[94.26.172.35]:25: TLSv1 with cipher ADH-AES256-SHA (256/256 bits)
>
> Kann ich dann davon ausgehen, dass die SSL-Verbindung korrekt funktioniert?
Ja, spätestens wenn Postfix die verwendeten Ciphers ins Log schreibt weißt du dass verschlüsselt wird :-)
Viele Grüße aus dem Tal
Max
Mehr Informationen über die Mailingliste Postfixbuch-users