AW: wie kann ich senden an eine domain (yahoo.com) unterbinden?

Daniel daniel at mail24.vip
Do Okt 12 12:16:15 CEST 2017


Welcher DNS soll den kein DNSsec unterstützen?

Was soll bitte zuviel an "Crypto" sein? In aktuellen Zeiten wird doch eher ohne TLS abgewiesen. Kann man zumindest bei Posteo erzwingen dass Server ohne TLS keine Mails bekommen wie z.B. die von Spamcop falls man dort die DNSBL füttern möchte mit Emails.

Von was möchtest da also von abraten oder anders machen?
Die Ciphers habe ich z.B. von hier https://weakdh.org/sysadmin.html mal übernommen gehabt.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Stefan Förster
Gesendet: Donnerstag, 12. Oktober 2017 11:37
An: postfixbuch-users at listen.jpberlin.de
Betreff: Re: wie kann ich senden an eine domain (yahoo.com) unterbinden?

* Daniel <daniel at mail24.vip>:
>smtp_dns_support_level = dnssec

Wenn der Rest der Infrastruktur KEIN DNSSEC kann, dann ist das keine 
gute Idee.

>smtp_tls_ciphers = high
>smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
>smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
>smtp_tls_mandatory_ciphers= high
>smtp_tls_security_level = dane
>smtpd_tls_ciphers = high
>smtpd_tls_eecdh_grade = strong
>smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
>smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
>smtpd_tls_mandatory_ciphers= high
>smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
>smtpd_tls_protocols = !SSLv2,!SSLv3

Mailserver sind keine HTTP-Server. Wenn da wegen zu viel Crypto keine 
TLS-Verbindung zu Stande kommt, dann mach die Gegenseite halt eine 
Klartext-Verbindung auf, und das war's dann mit der Verschlüsselung.

Ich kann nur dringend davon abraten, an den Defaults der noch 
unterstützten Postfix-Versionen was zu ändern, es sei denn, es handelt 
sich NICHT um öffentliche MXs sondern nur interne Relays etc., wo man 
also kontrollieren (und koordinieren) kann, wer drauf zugreift.


Ciao,
Stefan
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5586 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20171012/c0cb715f/attachment.p7s>


Mehr Informationen über die Mailingliste Postfixbuch-users