client-initiated renegotiation

Günther J. Niederwimmer gjn at gjn.priv.at
Mi Mär 13 18:14:46 CET 2019


Am Mittwoch, 13. März 2019, 15:42:11 CET schrieb Winfried Neessen:
> Hi,
> 
> On 13. Mar 2019, at 12:33, Günther J. Niederwimmer <gjn at gjn.priv.at> wrote:
> > Ich habe mal einige Test Server für meinen Mailserver ausprobiert das
> > einzige was dabei bemängelt wird ist "client-initiated renegotiation"
> > nach der sucherei was das ist, bin ich nicht recht schlauer geworden.
> 
> Was fuer "Test Server"? Wo wird das bemaengelt? Hast Du Logs?
> 
auf 

en.internet.nl

Logs habe ich dazu leider keine, jedenfalls meint das Teil ich bin für Dos 
Attacken offen. aber es gibt ein Beispiel .... ?

Das ist der Bericht dazu.

 Verdict:

At least one of your mail servers allows for client-initiated renegotiation, 
which is not secure.
Test explanation:
We check if a sending mail server can initiate a renegotiation with your 
receiving mail server (MX). There seems to be no need to support client-
initiated renegotiation. Although the option does not bear a risk for 
confidentiality, it does make your mail server vulnerable to DoS attacks 
within the same TLS connection. Therefore you should not support it. See 'TLS 
guidelines from NCSC- NL', guideline B6-2 (in Dutch).

Requirement level: Recommendation

-- 
mit freundliche Grüßen / best regards,

  Günther J. Niederwimmer




Mehr Informationen über die Mailingliste Postfixbuch-users