Schwache Algorithmen SSL

Alexander Dalloz ad+lists at uni-x.org
Fr Dez 17 17:36:01 CET 2021


Am 17.12.2021 um 15:30 schrieb Gerald Galster:
>> Der Test meckert nun alle "anonymous ciphers" an.
>>
>> Wie ist Eure Meinung bezüglich deren Verwendung? Die Postfix Doku meint:
>>
>> "There is generally no need to take these measures. Anonymous ciphers save bandwidth and TLS session cache space, if certificates are ignored, there is little point in requesting them."
>>
>> eigentlich logisch. Checkt man mit dem Tool ein großes Klinikum sieht man, dass dort "anonymous ciphers" deaktiviert sind.
>>
> 
> Das Wichtigste bei Mailservern ist nach wie vor, dass E-Mails ankommen. Deswegen sind die meisten Server mit security_level=may (oder dane) konfiguriert, d.h. sie verwenden TLS wenn möglich, auch mit selbstsignierten oder abgelaufenen Zertifikaten. Das bietet zwar weniger Schutz, ist aber immer noch besser als im Klartext zu senden. Unterstüzt die Gegenseite kein TLS würde das ohnehin passieren oder die Mail käme nicht an. In sofern ist es kein Sicherheitsvorteil wenn anonymous ciphers abgeschalten sind. Weiterhin muss ein Mailserver für eingehende Mails mit verschiedenen Clients zurechtkommen. Möchte man TLS erzwingen und verifizieren, konfiguriert man das besser clientseitig (z.B verify oder dane-only für bestimmte Zieldomains).
> 
> Viele Grüße
> Gerald

Ich bin davon ausgegangen, dass es bei der Anfrage von Frank um TLS 
ausschließlich im Kontext von Client Authentifizierung, also 
Submission(s) - Port 587 oder 465, geht und _nicht_ um Kommunikation 
über SMTP Port 25.

Alexander



Mehr Informationen über die Mailingliste Postfixbuch-users