[Postfixbuch-users] SSLv3
Andreas Schulze
andreas.schulze at datev.de
Fr Okt 17 08:10:21 CEST 2014
Am 16.10.2014 23:46 schrieb Roland Schnabel:
>
> Ich habe opportunistisches TLS konfiguriert und SSLv3 deaktiviert:
> Dies würde bedeuten, dass falls beim Versenden einer Email der
> empfangende Mailserver nur SSLv3 akzeptiert, der TLS-Handshake
> fehlschlägt und somit gar keine Verschlüsselung eingesetzt wird.
korrekt
> Macht es deshalb überhaupt Sinn SSLv3 zu deaktivieren? Besser eine
> anfällige SSLv3-Verschlüsselung als gar keine?
macht es Sinn, mit abgefahrenen Winterreifen rumzufahren?
OK, es ist auf jeden Fall besser, als die blanke Felge.
SSLv3 an oder aus ist eine Policy-Entscheidung, die jeder selbst treffen muss.
Will ich ein kaputtes Protokoll weiterbenutzen und mich in trügerischer Sicherheit wiegen
oder werden alte Zöpfe konsequent abgeschnitten.
Wer SSLv3 am Mailserver weiterbetreibt hat jedenfalls nicht ein soooo
großes Angriffspotential wie bei HTTP. http://marc.info/?l=postfix-users&m=141347702723101
Um selbst zu ermitteln, welche Protokolle am eigenen MTA benutzt werden, sollte man einfach in seine Logs schauen:
< inbound >
# grep 'TLS connection established from' /var/log/mail | sed -e 's/^.*\]\: //' -e 's/ with cipher.*//' | sort | uniq -c
< outbound >
# grep 'TLS connection established to' /var/log/mail | sed -e 's/^.*\]:25\: //' -e 's/ with cipher.*//' | sort | uniq -c
Und so kann man SSLv2 + SSLv3 deaktivieren:
# postconf -e 'lmtp_tls_protocols = !SSLv2,!SSLv3'
# postconf -e 'smtp_tls_protocols = !SSLv2,!SSLv3'
# postconf -e 'smtpd_tls_protocols = !SSLv2,!SSLv3'
# postfix reload
> Meine zweite Frage:
> In einem Testszenario haben sowohl der sendende als auch der
> empfangende Postfix das SSLv3-Protokoll komplett deaktiviert.
> Trotzdem finde ich in den Logs folgende Einträge:
>
> Oct 15 11:04:16 xxx postfix/smtp[23594]: SSL_connect:SSLv3 read server certificate A
...
> Was haben diese SSL_connect-Einträge zu bedeuten, und wieso wird
> SSLv3 benutzt obwohl dies auf beiden Seiten deaktiviert wurde?
http://marc.info/?l=postfix-users&m=141343456207551
beide Protocolle teilen eine gemeinsame Codebasis im postfix.
Andreas
--
Andreas Schulze
Internetdienste | P252
DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info at datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dr. Robert Mayr (stellv. Vorsitzender)
Eckhard Schwarzer (stellv. Vorsitzender)
Dr. Peter Krug
Jörg Rabe von Pappenheim
Vorsitzender des Aufsichtsrates: Dirk Schmale
Mehr Informationen über die Mailingliste Postfixbuch-users