Re: verschlüsselter Austausch Server <-> Server
sebastian at debianfan.de
sebastian at debianfan.de
So Jun 12 21:52:19 CEST 2016
Deine Einstellungen habe ich eingebaut - aber er nutzt trotzdem keine
verschlüsselten Verbindungen
Am 12.06.2016 um 16:44 schrieb Daniel:
> Hi,
>
> die ciperlist kannst weglassen, wenn doch setzen möchtest kannst nehmen:
> tls_high_cipherlist = EECDH+AESGCM:AES+EECDH:+ECDHE-RSA-AES256-SHA:+ECDHE-RSA-AES128-SHA:RSA+AESGCM:RSA+AES:RSA+CAMELLIA:+AES256-SHA:+AES128-SHA:!EXPORT:!eNULL:!aNULL:!DES:!3DES:!RC4:!RC2:!MD5:!IDEA:!SEED:!EDH:!aECDH:!aECDSA:!kECDHe:!SRP:!PSK
>
> Versehe deine dh1024 besser mit stärkerer Datei z.B. dh4096.pem
>
> Probiere sonst mal mit z.B., mit solchen Werte fahre ich soweit ganz gut, Testseiten zeigen keine Schwachstellen bei SSL und co nach aktuellem Stand.
>
> smtp_dns_support_level = dnssec
> smtp_host_lookup = dns
> smtp_tls_ciphers = high
> smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
> smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
> smtp_tls_fingerprint_digest = SHA256
> smtp_tls_mandatory_ciphers= high
> smtp_tls_mandatory_protocols = !SSLv2,!SSLv3
> smtp_tls_note_starttls_offer = yes
> smtp_tls_protocols = !SSLv2, !SSLv3
> smtp_tls_security_level = dane
>
> smtpd_tls_ciphers = high
> smtpd_tls_dh1024_param_file = /pfad/dh4096.pem
> smtpd_tls_eecdh_grade = strong
> smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
> smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
> smtpd_tls_fingerprint_digest = SHA256
> smtpd_tls_mandatory_ciphers= high
> smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
> smtpd_tls_protocols = !SSLv2,!SSLv3
> smtpd_tls_security_level = may
>
> tls_daemon_random_bytes = 64
> tls_preempt_cipherlist = yes
> tls_random_bytes = 64
> tls_ssl_options = no_ticket, no_compression
>
> Gruß Daniel
>
> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sebastian at debianfan.de
> Gesendet: Sonntag, 12. Juni 2016 16:18
> An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
> Betreff: verschlüsselter Austausch Server <-> Server
>
> Guten Tag allerseits,
>
> die postfix/dovecot/mysql Kombination läuft soweit dank der beiden
> Bücher & einiger Hinweise in der Dovecot-Liste :-)
>
> Ich kann Mails empfangen & senden - imap & smtp laufen über
> verschlüsselte Verbindungen welche auch mit gültigen Zertifikaten
> versehen sind.
>
> Jetzt gibts nur das Problem: Der Austausch von Mails mit anderen
> Mailservern erfolgt nicht verschlüsselt.
>
> Ich vermute mal dass hier der Fehler liegt:
>
> tls_ssl_options = NO_COMPRESSION
> tls_high_cipherlist =
> EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA
>
>
> smtp_tls_security_level = may
> smtp_dns_support_level = dnssec
> smtp_tls_policy_maps = mysql:/etc/postfix/sql/tls-policy.cf
> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
> smtp_tls_protocols = !SSLv2, !SSLv3
> smtp_tls_ciphers = high
> smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
>
>
>
> smtpd_tls_security_level = may
> smtpd_tls_protocols = !SSLv2, !SSLv3
> smtpd_tls_ciphers = high
> smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem
> smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
>
> smtpd_tls_cert_file = /root/domains/postfix/domain.de.cert
> smtpd_tls_key_file = /root/domains/postfix/domain.de.key.priv
>
>
>
> gruß
> Sebastian
>
>
Mehr Informationen über die Mailingliste Postfixbuch-users