SSL Optionen bei Postfix

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
hec_tech
Beiträge: 974
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

SSL Optionen bei Postfix

Beitrag von hec_tech » 16.02.2020 21:45:37

Ich bin gerade dabei die SSL Konfiguration meiner Mailserver zu überarbeiten und da hätte ich ein paar Fragen:

Welche Protokolle sollte man noch erlauben?
TLS 1.3, TLS 1.2 ist klar aber wie schaut es mit TLS 1.1 aus?

Soll man für smtpd und smtp unteschiedliche Werte setzen?

Code: Alles auswählen

smtpd_tls_protocols = TLSv1.3 TLSv1.2, !TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtp_tls_protocols = TLSv1.3 TLSv1.2, !TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = TLSv1.3 TLSv1.2, !TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = TLSv1.3 TLSv1.2, !TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtp_tls_mandatory_ciphers = high
smtpd_tls_mandatory_ciphers = high
smtp_tls_ciphers = high
smtpd_tls_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtpd_tls_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtp_tls_mandatory_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtp_tls_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
Findet ihr das zu restriktiv und rechnet ihr mit Problemen oder kann man das heutzutage so machen?
Habt ihr Änderungsvorschläge?

Benutzeravatar
HZB
Beiträge: 448
Registriert: 22.10.2003 11:52:15
Wohnort: Wien

Re: SSL Optionen bei Postfix

Beitrag von HZB » 17.02.2020 06:49:10

Ob es zu restriktiv ist kannst Du leider nur über das Maillog rausfinden.

Code: Alles auswählen

smtpd_tls_received_header = yes
smtpd_tls_loglevel = 1
Ich würde es generell so anlegen. Ich würde die absolut unsicheren ausschließen. ( SSLv2, SSLv3, TLS1 ). Dann mal eine Woche Log beobachten und schauen ob Verbindungen mittels TLS1.1 eintreffen.
Wenn dem nicht der Fall sein sollte nimm es raus.

Perfect Forward Secrecy ist aktiviert ?

wanne
Moderator
Beiträge: 6290
Registriert: 24.05.2010 12:39:42

Re: SSL Optionen bei Postfix

Beitrag von wanne » 17.02.2020 13:54:33

Klingt sinnvoll. Ist ziemlich genau meine Config. TLS 1.1 benutzt defakto seit Jahren nur noch Werbung. Seriöse anbieter haben sei Jahren TLS 1.2 Besonders witzig die 1&1 Newsletter kamen lange so rein die Rechnungen mit TLS 1.2.) Das gehört IMHO schon lange tot und man kann es auch schon ne weile wirklich so machen.
rot: Moderator wanne spricht, default: User wanne spricht.

hec_tech
Beiträge: 974
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: SSL Optionen bei Postfix

Beitrag von hec_tech » 17.02.2020 15:19:38

Danke für die Antworten dann werde ich die Umstellung mal versuchen und die Logs im Auge behalten.

Antworten