AW: Perfect Forward Secrecy (PFS) für die Mehrzahl der Clients
Daniel
daniel at ist-immer-online.de
So Jan 24 22:42:54 CET 2016
Hi,
hatte vor Monat schon Config Auszug gepostet ( https://listi.jpberlin.de/pipermail/postfixbuch-users/2015-December/063807.html ), damit besteht soweit keine Probleme bzw. Warnungen von Testseiten ( https://de.ssl-tools.net/mailservers , https://www.liveconfig.com/de/sslcheck , usw.) wo man dieses prüfen kann.
zu dovecot findet man sonst auf https://weakdh.org/sysadmin.html auch etwas.
Gruß Daniel
-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Werner Flamme
Gesendet: Sonntag, 24. Januar 2016 20:01
An: postfixbuch-users at listen.jpberlin.de
Betreff: Re: Perfect Forward Secrecy (PFS) für die Mehrzahl der Clients
Andreas Günther schrieb am 24.01.2016 um 17:45:
> Hallo zusammen,
>
> ich finde diese Methode sehr begrüßenswert
>
> http://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/
>
> Allerdings wenn ich das so umsetze - und bei Mailcow 0.13 ist das bereits
> standardmässig mit dabei - und das für "verschiedene Unternehmen und ISPs",
> dann sehe ich ernsthafte Probleme mit alten Clients, die ECDHE nicht oder noch
> nicht unterstützen.
Warum? Übersehe ich in dem Beitrag die Stelle, wo die ECDHE-Ciphers
vorgeschrieben werden?
Ich setze viele SLES 11 ein, genau nach dem beschriebenen Verfahren, und
es klappt bei denen mit DHE, weil deren altes openssl noch kein ECDHE
kann. Clients, die ECDHE können, werden auch so bedient, andere Clients
nehmen eben schwächere Verschlüsselung. Siehe auch den Schlussabsatz des
Beitrags...
Ansonsten: selbst eine schwache Verschlüsselung ist besser als gar keine...
Gruß
Werner
--
Mehr Informationen über die Mailingliste Postfixbuch-users