Schwache Algorithmen SSL
Gerald Galster
list+postfixbuch at gcore.biz
Fr Dez 17 15:30:30 CET 2021
> Der Test meckert nun alle "anonymous ciphers" an.
>
> Wie ist Eure Meinung bezüglich deren Verwendung? Die Postfix Doku meint:
>
> "There is generally no need to take these measures. Anonymous ciphers save bandwidth and TLS session cache space, if certificates are ignored, there is little point in requesting them. "
>
> eigentlich logisch. Checkt man mit dem Tool ein großes Klinikum sieht man, dass dort "anonymous ciphers" deaktiviert sind.
>
Das Wichtigste bei Mailservern ist nach wie vor, dass E-Mails ankommen. Deswegen sind die meisten Server mit security_level=may (oder dane) konfiguriert, d.h. sie verwenden TLS wenn möglich, auch mit selbstsignierten oder abgelaufenen Zertifikaten. Das bietet zwar weniger Schutz, ist aber immer noch besser als im Klartext zu senden. Unterstüzt die Gegenseite kein TLS würde das ohnehin passieren oder die Mail käme nicht an. In sofern ist es kein Sicherheitsvorteil wenn anonymous ciphers abgeschalten sind. Weiterhin muss ein Mailserver für eingehende Mails mit verschiedenen Clients zurechtkommen. Möchte man TLS erzwingen und verifizieren, konfiguriert man das besser clientseitig (z.B verify oder dane-only für bestimmte Zieldomains).
Viele Grüße
Gerald
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20211217/fe338791/attachment-0001.htm>
Mehr Informationen über die Mailingliste Postfixbuch-users