AW: verschlüsselter Austausch Server <-> Server

Daniel daniel at ist-immer-online.de
So Jun 12 16:44:15 CEST 2016 

Hi,

die ciperlist kannst weglassen, wenn doch setzen möchtest kannst nehmen:
tls_high_cipherlist = EECDH+AESGCM:AES+EECDH:+ECDHE-RSA-AES256-SHA:+ECDHE-RSA-AES128-SHA:RSA+AESGCM:RSA+AES:RSA+CAMELLIA:+AES256-SHA:+AES128-SHA:!EXPORT:!eNULL:!aNULL:!DES:!3DES:!RC4:!RC2:!MD5:!IDEA:!SEED:!EDH:!aECDH:!aECDSA:!kECDHe:!SRP:!PSK

Versehe deine dh1024 besser mit stärkerer Datei z.B. dh4096.pem

Probiere sonst mal mit z.B., mit solchen Werte fahre ich soweit ganz gut, Testseiten zeigen keine Schwachstellen bei SSL und co nach aktuellem Stand.

smtp_dns_support_level = dnssec
smtp_host_lookup = dns
smtp_tls_ciphers = high
smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtp_tls_fingerprint_digest = SHA256
smtp_tls_mandatory_ciphers= high
smtp_tls_mandatory_protocols = !SSLv2,!SSLv3
smtp_tls_note_starttls_offer = yes
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_security_level = dane

smtpd_tls_ciphers = high
smtpd_tls_dh1024_param_file = /pfad/dh4096.pem
smtpd_tls_eecdh_grade = strong
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_fingerprint_digest = SHA256
smtpd_tls_mandatory_ciphers= high
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtpd_tls_security_level = may

tls_daemon_random_bytes = 64
tls_preempt_cipherlist = yes
tls_random_bytes = 64
tls_ssl_options = no_ticket, no_compression

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sebastian at debianfan.de
Gesendet: Sonntag, 12. Juni 2016 16:18
An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
Betreff: verschlüsselter Austausch Server <-> Server

Guten Tag allerseits,

die postfix/dovecot/mysql Kombination läuft soweit dank der beiden 
Bücher & einiger Hinweise in der Dovecot-Liste :-)

Ich kann Mails empfangen & senden - imap & smtp laufen über 
verschlüsselte Verbindungen welche auch mit gültigen Zertifikaten 
versehen sind.

Jetzt gibts nur das Problem: Der Austausch von Mails mit anderen 
Mailservern erfolgt nicht verschlüsselt.

Ich vermute mal dass hier der Fehler liegt:

tls_ssl_options = NO_COMPRESSION
tls_high_cipherlist = 
EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA


smtp_tls_security_level = may
smtp_dns_support_level = dnssec
smtp_tls_policy_maps = mysql:/etc/postfix/sql/tls-policy.cf
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_ciphers = high
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt



smtpd_tls_security_level = may
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_ciphers = high
smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

smtpd_tls_cert_file = /root/domains/postfix/domain.de.cert
smtpd_tls_key_file = /root/domains/postfix/domain.de.key.priv



gruß
Sebastian

Mehr Informationen über die Mailingliste Postfixbuch-users