client-initiated renegotiation
Günther J. Niederwimmer
gjn at gjn.priv.at
Mi Mär 13 18:14:46 CET 2019
Am Mittwoch, 13. März 2019, 15:42:11 CET schrieb Winfried Neessen:
> Hi,
>
> On 13. Mar 2019, at 12:33, Günther J. Niederwimmer <gjn at gjn.priv.at> wrote:
> > Ich habe mal einige Test Server für meinen Mailserver ausprobiert das
> > einzige was dabei bemängelt wird ist "client-initiated renegotiation"
> > nach der sucherei was das ist, bin ich nicht recht schlauer geworden.
>
> Was fuer "Test Server"? Wo wird das bemaengelt? Hast Du Logs?
>
auf
en.internet.nl
Logs habe ich dazu leider keine, jedenfalls meint das Teil ich bin für Dos
Attacken offen. aber es gibt ein Beispiel .... ?
Das ist der Bericht dazu.
Verdict:
At least one of your mail servers allows for client-initiated renegotiation,
which is not secure.
Test explanation:
We check if a sending mail server can initiate a renegotiation with your
receiving mail server (MX). There seems to be no need to support client-
initiated renegotiation. Although the option does not bear a risk for
confidentiality, it does make your mail server vulnerable to DoS attacks
within the same TLS connection. Therefore you should not support it. See 'TLS
guidelines from NCSC- NL', guideline B6-2 (in Dutch).
Requirement level: Recommendation
--
mit freundliche Grüßen / best regards,
Günther J. Niederwimmer
Mehr Informationen über die Mailingliste Postfixbuch-users