<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div><blockquote type="cite" class=""><div class=""><div class=""><p class=""><font size="2" class=""><font face="Helvetica, Arial, sans-serif" class="">Der Test
          meckert nun alle "anonymous ciphers" an.</font></font></p><p class=""><font size="2" class=""><font face="Helvetica, Arial, sans-serif" class="">Wie ist
          Eure Meinung bezüglich deren Verwendung? Die Postfix Doku
          meint:</font></font></p><p class="">"There is generally
      no need to take these measures. Anonymous ciphers save bandwidth
      and TLS session cache space, if certificates are ignored, there is
      little point in requesting them. "</p><p class="">eigentlich logisch. Checkt man mit dem Tool ein großes Klinikum
      sieht man, dass dort <font size="2" class=""><font face="Helvetica, Arial,
          sans-serif" class="">"anonymous ciphers" deaktiviert sind.</font></font></p></div></div></blockquote></div><div class="">Das Wichtigste bei Mailservern ist nach wie vor, dass E-Mails ankommen. Deswegen sind die meisten Server mit security_level=may (oder dane) konfiguriert, d.h. sie verwenden TLS wenn möglich, auch mit selbstsignierten oder abgelaufenen Zertifikaten. Das bietet zwar weniger Schutz, ist aber immer noch besser als im Klartext zu senden. Unterstüzt die Gegenseite kein TLS würde das ohnehin passieren oder die Mail käme nicht an. In sofern ist es kein Sicherheitsvorteil wenn anonymous ciphers abgeschalten sind. Weiterhin muss ein Mailserver für eingehende Mails mit verschiedenen Clients zurechtkommen. Möchte man TLS erzwingen und verifizieren, konfiguriert man das besser clientseitig (z.B verify oder dane-only für bestimmte Zieldomains).</div><div class=""><br class=""></div><div class="">Viele Grüße</div><div class="">Gerald</div></body></html>