[Postfixbuch-users] sslv2 und schwache ciphers

Ringen, Dieter (ZPD Dez. 42.5 - Infrastruktur) dieter.ringen at polizei.niedersachsen.de
Mi Nov 9 06:29:20 CET 2011 

Moin Moin.


Hajo Locke schrieb:
> Hallo,
> 
> ich glaub ich seh grad das Problem nicht, benötige mal einen anstoß.
> Kunde macht externen Sicherheitstest und für Port 25/587 werden sslv2, weak encryption und anonymous authentication bemängelt. Ihr kennt diese Sicherheitstest sicherlich auch.
> 
> postconf -n | grep tls
> smtpd_enforce_tls = yes
> smtpd_tls_auth_only = yes
> smtpd_tls_cert_file = /etc/cert/*.example.com.crt
> smtpd_tls_key_file = /etc/cert/*.example.com.key
> smtpd_tls_loglevel = 1
> smtpd_tls_mandatory_ciphers = medium
> smtpd_tls_mandatory_protocols = SSLv3 TLSv1 !SSLv2
> smtpd_tls_security_level = may
> 
> postconf -n | grep smtpd_sasl_security_options 
> smtpd_sasl_security_options = noanonymous
> 
> 
> Sieht doch alles ok aus. Beim letzten Test war das auch alles bestanden worden, ich sehe aber nicht wieso es diesmal bemängelt wird. Die Einstellungen sehen doch gut aus.
> Ich hatte auch vorher mal smtpd_tls_security_level = encrypt aktiv, allerdings konnten dann gewiße Mailserver nicht mehr zustellen und ich sollte es wieder auf may setzen.
> Könnte dies den Unterschied ausmachen?
Da kannst du von ausgehen. May bedeutet ja, dass er auch unverschlüsselt
annimmt. cipherlist auf medium ist unterste Stufe.
Das BSI hat veröffentlicht, welche Verschlüsselungstiefen noch grade
ausreichend sind und welche als unsicher gelten.
Wenn du deine Maschine durch eine höhere und erzwungene Verschlüsselung
absicherst und andere Mailserver dich dann nicht mehr erreichen können,
liegt das am admin der anderen Maschine. Dann ist der in der Pflicht.
So siehts bei mir aus:


smtp_tls_CApath = /....../certs
smtp_tls_cert_file = ....../servercert.pem
smtp_tls_key_file = ......./serverkey.pem
smtp_tls_loglevel = 0
smtp_tls_mandatory_ciphers = high
smtp_tls_note_starttls_offer = yes
smtp_tls_scert_verifydepth = 3
smtp_tls_security_level = encrypt
smtpd_tls_CApath = /....../certs
smtpd_tls_ccert_verifydepth = 3
smtpd_tls_cert_file = /......../servercert.pem
smtpd_tls_key_file = /........./serverkey.pem
smtpd_tls_loglevel = 0
smtpd_tls_mandatory_ciphers = high
smtpd_tls_received_header = yes
smtpd_tls_security_level = encrypt
tls_high_cipherlist =
DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:AES128-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DES-CBC3-SHA
tls_random_source = dev:/dev/urandom

Also, sowohl Ein - als auch Ausgang zwangsverschlüsselt.
Ein WindowsXP mit SP2 kann z.B. keine Mails mehr einliefern, er benötigt
mindestens SP3, um die Tiefe zu erreichen.




> 
> Danke,
> Hajo
> 

-- 
mit freundlichem Gruß

Dieter Ringen
Zentrale Polizeidirektion ( ZPD )
Dezernat 42.5.4 - IT - Infrastruktur
Tel: 0511 9695 -7653
Fax: 0511 9695697653
mailto:dieter.ringen at polizei.niedersachsen.de

Mehr Informationen über die Mailingliste Postfixbuch-users