<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=iso-8859-1"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
@font-face
        {font-family:"Lucida Console";
        panose-1:2 11 6 9 4 5 4 2 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";
        color:black;}
h3
        {mso-style-priority:9;
        mso-style-link:"Überschrift 3 Zchn";
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:13.5pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
code
        {mso-style-priority:99;
        font-family:"Courier New";}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Vorformatiert Zchn";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";
        color:black;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Sprechblasentext Zchn";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";
        color:black;}
span.HTMLVorformatiertZchn
        {mso-style-name:"HTML Vorformatiert Zchn";
        mso-style-priority:99;
        mso-style-link:"HTML Vorformatiert";
        font-family:Consolas;
        color:black;}
span.E-MailFormatvorlage19
        {mso-style-type:personal;
        font-family:"Arial","sans-serif";
        font-variant:normal !important;
        color:#1F4E79;
        text-transform:none;
        mso-contextual-alternates:no;
        text-shadow:none;
        font-weight:normal;
        font-style:normal;
        text-decoration:none none;
        vertical-align:baseline;}
span.SprechblasentextZchn
        {mso-style-name:"Sprechblasentext Zchn";
        mso-style-priority:99;
        mso-style-link:Sprechblasentext;
        font-family:"Tahoma","sans-serif";
        color:black;}
span.E-MailFormatvorlage22
        {mso-style-type:personal-reply;
        font-family:"Arial","sans-serif";
        font-variant:normal !important;
        color:#1F4E79;
        text-transform:none;
        mso-contextual-alternates:no;
        text-shadow:none;
        font-weight:normal;
        font-style:normal;
        text-decoration:none none;
        vertical-align:baseline;}
span.berschrift3Zchn
        {mso-style-name:"Überschrift 3 Zchn";
        mso-style-priority:9;
        mso-style-link:"Überschrift 3";
        font-weight:bold;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 2.0cm 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body bgcolor=white lang=DE link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoNormal><a name="_MailEndCompose"><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'>Hi,<o:p></o:p></span></a></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'>ich habe auf </span><a href="https://www.rootforum.org/forum/viewtopic.php?t=54550"><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>https://www.rootforum.org/forum/viewtopic.php?t=54550</span></a><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'> folgendes gefunden für Postfix:<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New";color:windowtext'>smtp_tls_ciphers = medium<br>smtp_tls_exclude_ciphers = CAMELLIA, RC4, 3DES, IDEA, SEED, PSK, SRP, DSS, eNULL, aNULL<br>smtp_tls_mandatory_ciphers = medium<br>smtp_tls_mandatory_exclude_ciphers = CAMELLIA, RC4, 3DES, IDEA, SEED, PSK, SRP, DSS, eNULL, aNULL<br>smtp_tls_mandatory_protocols = !SSLv2, !SSLv3<br>smtp_tls_protocols = !SSLv2, !SSLv3<br>smtp_tls_security_level = may<br>smtp_use_tls = yes<br>smtpd_tls_auth_only = yes<br>smtpd_tls_ciphers = medium<br>smtpd_tls_eecdh_grade = strong<br>smtpd_tls_exclude_ciphers = CAMELLIA, RC4, 3DES, IDEA, SEED, PSK, SRP, DSS, eNULL, aNULL<br>smtpd_tls_mandatory_ciphers = medium<br>smtpd_tls_mandatory_exclude_ciphers = CAMELLIA, RC4, 3DES, IDEA, SEED, PSK, SRP, DSS, eNULL, aNULL<br>smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3<br>smtpd_tls_protocols = !SSLv2, !SSLv3<br>smtpd_tls_received_header = yes<br>smtpd_tls_security_level = may<br>smtpd_use_tls = yes<br>tls_daemon_random_bytes = 64<br>tls_high_cipherlist = EECDH+AES256 EECDH+AES128 EDH+AES256 EDH+AES128<br>tls_medium_cipherlist = EECDH+AES256 EECDH+AES128 EDH+AES256 EDH+AES128 EECDH EDH<br>tls_preempt_cipherlist = yes<br>tls_random_bytes = 64<br>tls_ssl_options = NO_COMPRESSION</span><span style='color:windowtext'><o:p></o:p></span></p><h3><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79;font-weight:normal'>Was ist denn nun am besten zu empfehlen nach </span><a href="https://www.rootforum.org/forum/viewtopic.php?t=54550#p327893"><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79;font-weight:normal;text-decoration:none'>Heartbleed, Poodle</span></a><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79;font-weight:normal'> und Beast?<o:p></o:p></span></h3><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'>Gruß Daniel<o:p></o:p></span></p></div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'>Von:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'> Daniel [mailto:daniel@ist-immer-online.de] <br><b>Gesendet:</b> Samstag, 15. August 2015 16:54<br><b>An:</b> 'Diskussionen und Support rund um Postfix'<br><b>Betreff:</b> AW: TLS_cipherlist vs. TLS_ciphers<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'>Hi,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'>ich habe in meiner Konfig eher einfaches gefunden wie<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'><o:p> </o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='font-size:10.0pt;font-family:"Lucida Console";color:windowtext'>smtpd_tls_mandatory_exclude_ciphers = aNULL, RC4<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='font-size:10.0pt;font-family:"Lucida Console";color:windowtext'>smtpd_tls_exclude_ciphers = aNULL, RC4<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='font-size:10.0pt;font-family:"Lucida Console";color:windowtext'>smtpd_tls_protocols = !SSLv2, !SSLv3<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Lucida Console";color:windowtext'>smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Lucida Console";color:windowtext'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'>Deine angepassten Parameter sehen besser bzw. konkreter aus.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'>Was ist mit TLS 1.0, sollte es nicht auch verweigert wegen wegen der Beast Atacke?<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'>Wieso sollte es also nun am besten aussehen in der Konfig?<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'>Gruß Daniel<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F4E79'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'>Von:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'> Postfixbuch-users [<a href="mailto:postfixbuch-users-bounces@listen.jpberlin.de">mailto:postfixbuch-users-bounces@listen.jpberlin.de</a>] <b>Im Auftrag von </b>Matthias Doering<br><b>Gesendet:</b> Montag, 27. Juli 2015 20:33<br><b>An:</b> <a href="mailto:postfixbuch-users@listen.jpberlin.de">postfixbuch-users@listen.jpberlin.de</a><br><b>Betreff:</b> TLS_cipherlist vs. TLS_ciphers<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal style='margin-bottom:12.0pt'>Hallo Liste.<br><br>Ich habe noch Probleme bei Postfix zu erkennen welcher Default-Parameter von welchem angepassten Parameter überschrieben wird/ werden kann.<br><br>Bsp.:<br><br><b>Angepasste Parameter:</b><br>tls_high_cipherlist = aNULL:-aNULL:RC4-SHA:ALL:@STRENGTH<br>smtp_tls_protocols = !SSLv2, !SSLv3<br>smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA<br>smtpd_tls_protocols = !SSLv2 !SSLv3<br>smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA<br><br>Mit dieser Konfiguration sollte man ja die höchstmögliche Sicherheit in Punkto TLS erreichen. Soweit sehe Ich das jetzt mal als eine korrekte Annahme an. Freue mich aber gerne über Hinweise wie man da mehr Sicherheit rein bekommt ;)<br><br><b>Jetzt gibt es solche Default Parameter:</b><br>lmtp_tls_ciphers = export<br>smtp_tls_ciphers = export<br>smtpd_tls_ciphers = export<br>tls_export_cipherlist = aNULL:-aNULL:ALL:+RC4:@STRENGTH<br><br>Woher kann Ich jetzt wissen das diese Werte mit den obigen außer Kraft gesetzt werden wenn das so ist?<br>Ich überschreibe ja nicht diese Werte sondern "ähnliche" äquivalente Parameter.<br><br>Wie kann Ich jetzt ohne ein Test herausfinden ob das jetzt wirklich so ist wie Ich mir das denke?<br>Ich will das nur die high_cipherlist genutzt wird für max. Sicherheit aber, was ist mit (smtpd_tls_ciphers, smtp_tls_ciphers, lmtp_tls_ciphers) werden diese komplette ignoriert? Wenn ja, wieso (Zusammenhang)?<br>Testen kann man das ja so auch nur bedingt. Wer kennt schon wirklich alle Fälle die hier eintreten können?<o:p></o:p></p><pre>-- <o:p></o:p></pre><pre>Mit freundlichen Grüßen <o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Matthias Döring<o:p></o:p></pre></div></body></html>