Startssl & Postfix
sebastian at debianfan.de
sebastian at debianfan.de
Di Dez 15 12:09:20 CET 2015
geht - Danke :-)
Am 14.12.2015 um 20:11 schrieb Daniel:
> Hi,
>
> sonst probiere es mal mit
>
> smtp_tls_ciphers = high
> smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
> smtp_tls_loglevel = 1
> smtp_tls_note_starttls_offer = yes
> smtp_tls_protocols = !SSLv2, !SSLv3
>
> smtpd_tls_ciphers = high
> smtpd_tls_eecdh_grade = strong
> smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
> smtpd_tls_mandatory_ciphers= high
> smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
> smtpd_tls_protocols = !SSLv2,!SSLv3
>
> Gruß Daniel
>
> -----Ursprüngliche Nachricht-----
> Hallo
>
> Am 14.12.2015 um 17:06 schrieb sebastian at debianfan.de:
>
>> Es kam die Meldung, dass die Unterstützung von ECDHE_RSA_WITH_RC4_128_SHA "gefährlich" ist.
>> Wie schalte ich diese Unterstützung bei Postfix ab?
> Ich habe bei mir in der main.cf folgende Einträge:
>
> ---------------------------------------------
> smtpd_tls_eecdh_grade = strong
> smtpd_tls_mandatory_protocols = TLSv1, TLSv1.1, TLSv1.2
>
> ; Die hier genannten Ciphers werden NICHT verwendet.
> smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
>
> ; Der Server (also du) bestimmst die Ciphers resp. deren Reihenfolge
> tls_preempt_cipherlist = yes
>
> ; Optional: Selbst generierte DH-Parameter benutzen
> smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dhparams2k.pem
> ---------------------------------------------
>
>> Dec 14 16:28:06 debian postfix/smtp[1818]: Anonymous TLS connection established to mail07.arbeitgeber.de[94.26.172.35]:25: TLSv1 with cipher ADH-AES256-SHA (256/256 bits)
>>
>> Kann ich dann davon ausgehen, dass die SSL-Verbindung korrekt funktioniert?
> Ja, spätestens wenn Postfix die verwendeten Ciphers ins Log schreibt weißt du dass verschlüsselt wird :-)
>
> Viele Grüße aus dem Tal
> Max
>
>
Mehr Informationen über die Mailingliste Postfixbuch-users