AW: TLS_cipherlist vs. TLS_ciphers

Daniel daniel at ist-immer-online.de
Di Aug 18 12:44:53 CEST 2015


Hi,

nochmal nen Nachtrag, war wohl gestern nicht ganz Anwesend, dovecot ist ja für IMAP, und Mails verschieben ist Procmail, daher macht es mit den SSL Einstellungen für Dovecot auch sinn.

Gruß Daniel
==========

Hallo Jens,

bin schon froh mit meinem keinen Mailserver für mich und noch paar Leuten zurecht zukommen mit dem meisten Sachen.

Sprich Logs auswerten, Missbrauch prüfen, openrelay ect. DNSBL pflegen, sa-updates ect. pp.

Die Feinheiten der einzelnen SSL/TLS Varianten ist nicht so ganz meins in der Tiefe.

Was kann man den sonst empfehlen für eine Konfiguration, um möglichst hohe Sicherheit zu haben, seitens der Schwachstellen wie in SSL1 und 2 sowie TLS 1.0.

Auf https://weakdh.org/sysadmin.html habe ich nur eine Zeile gefunden für Cipher. Dort steht auch was für Dovecot, wieso muss man da was mit SSL einpflegen? Darüber lasse ich nur Mails verschieben nach entsprechenden Regeln im einzelnen Postfach.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Jens Adam
Gesendet: Montag, 17. August 2015 09:07
An: postfixbuch-users at listen.jpberlin.de
Betreff: Re: TLS_cipherlist vs. TLS_ciphers

Mon, 17 Aug 2015 05:42:42 +0200
"Daniel" <daniel at ist-immer-online.de>:

> ich habe auf  <https://www.rootforum.org/forum/viewtopic.php?t=54550>
> folgendes gefunden für Postfix:

Ja, Internet ist toll, da findet man so einiges; die Problematik der
OpenSSL-Einrichtung ist aber generell und nicht auf Postfix bezogen.
Wenn man sich schon etwas länger mit diesem ganzen
Snowden/Security/SSL-Krams beschäftigt, landet man weniger bei
Forenpostings, sondern bei einem knappen Dutzend an Seiten, die
meistens auch ordentlich gepflegt werden, z.B.:

- https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
  viele Erklärungen/Links und ein Changelog
- https://wiki.mozilla.org/Security/Server_Side_TLS
  seehr ausführlich, natürlich mit einem starken Fokus auf Webserver
- https://weakdh.org/sysadmin.html
  Fokus auf 'LogJam' und Copy+Paste, bis auf die Cipherlist (wer
  benutzt schon DSS- oder ECDSA-Zertifikate) schön knapp gehalten
- https://cipherli.st/
  noch knapper, wenn Kompromisse bzgl. Kompatibilität egal sind
- https://starttls.info/
  Online-Check für Mailserver, nicht sehr ausführlich aber ganz nett

Wenn man jetzt genug Grundwissen zusammen hat, um beurteilen zu können,
wie sich diese How-Tos in ihren Schwerpunkten unterscheiden und man sich
sein Setup zurechtgelegt/kopiert hat, bleibt aber trotzdem noch die
Frage, inwiefern das für einen Standardmailserver überhaupt relevant ist.
Bei meinen Webserver, dem Jabberserver und auch Dovecot kann ich davon
ausgehen, dass alle potentiellen Clients (Start)TLS verstehen, und das
auch problemlos forcieren (Zwangsumleitung, HSTS, etc), aber solange man
einen MX im Internet betreibt sollte man sich im Klaren sein, dass
*bessere* Crypto im Zweifelsfall eher *keine* Crypto bedeutet, wenn die
Gegenseite die Cipher-Auswahl nicht akzeptiert und einfach
unverschlüsselt anliefert.

Gruß,
Jens




Mehr Informationen über die Mailingliste Postfixbuch-users