TLS_cipherlist vs. TLS_ciphers

[Matthias Doering]

Hallo Liste.

Ich habe noch Probleme bei Postfix zu erkennen welcher Default-Parameter 
von welchem angepassten Parameter überschrieben wird/ werden kann.

Bsp.:

*Angepasste Parameter:*
tls_high_cipherlist = aNULL:-aNULL:RC4-SHA:ALL:@STRENGTH
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, 
aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
smtpd_tls_protocols = !SSLv2 !SSLv3
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, 
aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA

Mit dieser Konfiguration sollte man ja die höchstmögliche Sicherheit in 
Punkto TLS erreichen. Soweit sehe Ich das jetzt mal als eine korrekte 
Annahme an. Freue mich aber gerne über Hinweise wie man da mehr 
Sicherheit rein bekommt ;)

*Jetzt gibt es solche Default Parameter:*
lmtp_tls_ciphers = export
smtp_tls_ciphers = export
smtpd_tls_ciphers = export
tls_export_cipherlist = aNULL:-aNULL:ALL:+RC4:@STRENGTH

Woher kann Ich jetzt wissen das diese Werte mit den obigen außer Kraft 
gesetzt werden wenn das so ist?
Ich überschreibe ja nicht diese Werte sondern "ähnliche" äquivalente 
Parameter.

Wie kann Ich jetzt ohne ein Test herausfinden ob das jetzt wirklich so 
ist wie Ich mir das denke?
Ich will das nur die high_cipherlist genutzt wird für max. Sicherheit 
aber, was ist mit (smtpd_tls_ciphers, smtp_tls_ciphers, 
lmtp_tls_ciphers) werden diese komplette ignoriert? Wenn ja, wieso 
(Zusammenhang)?
Testen kann man das ja so auch nur bedingt. Wer kennt schon wirklich 
alle Fälle die hier eintreten können?

-- 
Mit freundlichen Grüßen

Matthias Döring

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150727/bacac295/attachment.html>