AW: Startssl & Postfix

Daniel daniel at ist-immer-online.de
Do Dez 31 17:43:56 CET 2015


Hi Sebastian,

anbei noch mal paar mehr Zeilen als Teilauszug, hatte wohl Tick zu wenig kopiert. Falls ganze noch etwas konkreter vorgeben magst.

broken_sasl_auth_clients = yes
disable_vrfy_command = yes
duplicate_filter_limit = 32768
inet_protocols = ipv4, ipv6
mailbox_size_limit = 0

smtp_dns_support_level = dnssec
smtp_host_lookup = dns, native
smtp_tls_ciphers = high
smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtp_tls_loglevel = 1
smtp_tls_mandatory_ciphers= high
smtp_tls_mandatory_protocols = !SSLv2,!SSLv3
smtp_tls_note_starttls_offer = yes
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_security_level = dane

smtpd_sasl_authenticated_header = yes
smtpd_tls_ask_ccert = yes
smtpd_tls_auth_only = yes
smtpd_tls_ciphers = high
smtpd_tls_eecdh_grade = strong
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_ciphers= high
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtpd_tls_received_header = yes
smtpd_tls_security_level = may

tls_daemon_random_bytes = 64
tls_high_cipherlist = EECDH+AESGCM:AES+EECDH:+ECDHE-RSA-AES256-SHA:+ECDHE-RSA-AES128-SHA:RSA+AESGCM:RSA+AES:RSA+CAMELLIA:+AES256-SHA:+AES128-SHA:!EXPORT:!eNULL:!aNULL:!DES:!3DES:!RC4:!RC2:!MD5:!IDEA:!SEED:!EDH:!aECDH:!aECDSA:!kECDHe:!SRP:!PSK
tls_preempt_cipherlist = yes
tls_random_bytes = 64
tls_ssl_options = no_ticket, no_compression

Falls wer noch Verbesserungsvorschläge hat, immer her damit. :-)

Frohes neues noch euch :-)

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sebastian at debianfan.de
Gesendet: Dienstag, 15. Dezember 2015 12:09
An: Diskussionen und Support rund um Postfix
Betreff: Re: Startssl & Postfix

geht - Danke :-)


Am 14.12.2015 um 20:11 schrieb Daniel:
> Hi,
>
> sonst probiere es mal mit
>
> smtp_tls_ciphers = high
> smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
> smtp_tls_loglevel = 1
> smtp_tls_note_starttls_offer = yes
> smtp_tls_protocols = !SSLv2, !SSLv3
>
> smtpd_tls_ciphers = high
> smtpd_tls_eecdh_grade = strong
> smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
> smtpd_tls_mandatory_ciphers= high
> smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
> smtpd_tls_protocols = !SSLv2,!SSLv3
>
> Gruß Daniel
>
> -----Ursprüngliche Nachricht-----
> Hallo
>
> Am 14.12.2015 um 17:06 schrieb sebastian at debianfan.de:
>
>> Es kam die Meldung, dass die Unterstützung von ECDHE_RSA_WITH_RC4_128_SHA "gefährlich" ist.
>> Wie schalte ich diese Unterstützung bei Postfix ab?
> Ich habe bei mir in der main.cf folgende Einträge:
>
> ---------------------------------------------
> smtpd_tls_eecdh_grade = strong
> smtpd_tls_mandatory_protocols = TLSv1, TLSv1.1, TLSv1.2
>
> ; Die hier genannten Ciphers werden NICHT verwendet.
> smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
>
> ; Der Server (also du) bestimmst die Ciphers resp. deren Reihenfolge
> tls_preempt_cipherlist = yes
>
> ; Optional: Selbst generierte DH-Parameter benutzen
> smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dhparams2k.pem
> ---------------------------------------------
>
>> Dec 14 16:28:06 debian postfix/smtp[1818]: Anonymous TLS connection established to mail07.arbeitgeber.de[94.26.172.35]:25: TLSv1 with cipher ADH-AES256-SHA (256/256 bits)
>>
>> Kann ich dann davon ausgehen, dass die SSL-Verbindung korrekt funktioniert?
> Ja, spätestens wenn Postfix die verwendeten Ciphers ins Log schreibt weißt du dass verschlüsselt wird :-)
>
> Viele Grüße aus dem Tal
>   Max
>
>







Mehr Informationen über die Mailingliste Postfixbuch-users