client-initiated renegotiation

Winfried Neessen wn at neessen.net
Mi Mär 13 18:48:55 CET 2019 

Hi,

On 13. Mar 2019, at 18:14, Günther J. Niederwimmer <gjn at gjn.priv.at> wrote:

> en.internet.nl
>  [...]
> At least one of your mail servers allows for client-initiated renegotiation,
> which is not secure.
> Test explanation:
> We check if a sending mail server can initiate a renegotiation with your
> receiving mail server (MX). There seems to be no need to support client-
> initiated renegotiation. Although the option does not bear a risk for
> confidentiality, it does make your mail server vulnerable to DoS attacks
> within the same TLS connection. Therefore you should not support it. See 'TLS
> guidelines from NCSC- NL', guideline B6-2 (in Dutch).

Hmm, aktuelle OpenSSL Implementierungen sollten eigentlich nur sichere[3]
TLS renegotiation erlauben. Lt. SSL_CTX_set_options(3) ist dies seit OpenSSL
0.9.8m der Fall.

Du kannst aber auch Postfix sagen, dass Du TLS renegotiation komplett deaktivieren
willst. Das funktioniert mit dem tls_ssl_options parameter. Dem musst Du die
entsprechende OpenSSL set_options Hexmaske uebergeben. Lt. openssl/ssl.h[2]
fuer die aktuelle OpenSSL Version sollte das 0x40000000 sein. In aelteren OpenSSL
Versionen kann es aber auch eine andere Maske sein.

Generell wuerde ich aber davon abraten an den tls_ssl_options zu schrauben.


Winni



[1] = http://www.postfix.org/postconf.5.html#tls_ssl_options <http://www.postfix.org/postconf.5.html#tls_ssl_options>
[2] = https://github.com/openssl/openssl/blob/master/include/openssl/ssl.h <https://github.com/openssl/openssl/blob/master/include/openssl/ssl.h>
[3] = https://www.rfc-editor.org/rfc/rfc5746.txt <https://www.rfc-editor.org/rfc/rfc5746.txt>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20190313/7a3e4aab/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: Message signed with OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20190313/7a3e4aab/attachment.asc>

Mehr Informationen über die Mailingliste Postfixbuch-users