Empfohlene TLS-Konfiguration: RC4, MD5 und andere starke Cipher blocken oder nicht?
Martin Steigerwald
martin at lichtvoll.de
Fr Jan 27 13:32:16 CET 2017
Hallo!
mailbox.org blockt. Mike Kuketz hält es auch für sinnvoll zu blocken¹ ².
Posteo hingegen hält es für verantwortlicher, lieber schwach zu verschlüsseln
als gar nicht zu verschlüssen³. Ich hab meinen Server gestern noch von Score F
auf Score A+ gebracht[4]. Jetzt mosert das Teil noch ECC 256 bits DH 2048 bits
an, während mailbox.org ECC 384 bits DH 4096 bits verwendet. Da bräuchte ich
wohl ein stärkeres Lets Encrypt-Zertifikat? Ich erstellte meines mit:
Was meint ihr zu dieser Diskussion?
Ich tendiere ja dazu, nicht so zu tun, als ob RC4-Verschlüsselung noch eine
nennenswerte Herausforderung für Angreifer wäre.
Und dann noch eine weitere Frage zur TLS-Konfiguration. Ich habe bislang anhand
von Blog-Artikel bei Heinlein und eigener Recherchen:
# TLS
smtpd_tls_cert_file = /etc/letsencrypt/live/lichtvoll.de/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/lichtvoll.de/privkey.pem
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem
smtpd_tls_eecdh_grade = strong
tls_preempt_cipherlist = yes
smtpd_tls_exclude_ciphers = RC4, aNULL
Also im Grunde alles mit "smtpd" für den Dienst-Teil.
Ich hab dann auch:
smtp_tls_exclude_ciphers = RC4, aNULL
mit rein und frage mich gerade, ob ich das überhaupt brauche.
Ich glaube mir ist da nicht ganz klar, wie das verdrahtet ist. Meine bisherige
Vorstellung ist: smtpd_ ist fürs Empfangen von Mails via SMTP und smtp_* ist
fürs Versenden. Daher müsste ich die komplette Konfiguration an sich
duplizieren, damit mein Postfix auch beim Versenden via SMTP TLS nutzt, falls
möglich.
Das würde dazu passen, was ich auf meinem Laptop konfigurierte, um via SMTP
Auth Mails und TLS Mails auf meinen Mail-Server im Internet einzukippen.
# SMTP und TLS
smtp_use_tls = yes
smtp_enforce_tls = no
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_mechanism_filter = plain, login
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
Hmmm, keine Ahnung, warum ich da "smtp_enforce_tls = no" gesetzt habe –
möglicherweise folgte ich da damals blind einem HOWTO. In diesem Fall ist wohl
sinnvoll das auf "yes" zu stellen. Für meinen Server im Internet würde ich das
zwar auch gerne machen, aber… das dürfte wenig zielführend sein, wenn ich noch
Mails an Mailsender, die einfach kein TLS können verschicken möchte.
[1] https://www.kuketz-blog.de/posteo-und-die-rc4-cipher/
[2] https://www.kuketz-blog.de/posteo-klappe-die-dritte/
[3] https://posteo.de/hilfe/warum-werden-aeltere-verschluesselungstechnologien-zu-e-mailservern-anderer-Betreiber-in-ausnahmefaellen-noch-verwendet
[4] https://tls.imirhil.fr/
Ciao,
--
Martin
Mehr Informationen über die Mailingliste Postfixbuch-users