Schwache Algorithmen SSL

fk+postfix at celebrate.de fk+postfix at celebrate.de
Mi Dez 22 06:35:33 CET 2021 

Am 20.12.2021 um 19:47 schrieb Alexander Dalloz:
> Am 20.12.2021 um 06:46 schrieb fk+postfix at celebrate.de:
>>
>> Prüfe ich per telnet auf Port 25, bekomme ich
>>
>> 250-PIPELINING
>> 250-SIZE 15000000
>> 250-ETRN
>> 250-STARTTLS
>> 250-ENHANCEDSTATUSCODES
>> 250-8BITMIME
>> 250 DSN
>
> Es wäre noch möglich, dass Dein Postfix AUTH auf Port 25 anbietet nach 
> einem erfolgreichen STARTTLS.

Du hast Recht, ich habe das mal getestet (nachfolgende Tabelle) und mal 
gegoogelt, wie ich das deaktivieren kann.
Demnach müsste ja in der master.cf für den service smtp die Option -o 
smtpd_sasl_auth_enable=yes gesetzt sein, da Auth nach STARTTLS möglioch 
ist. Ist sie aber nicht.
Für den service smtp habe ich gar keine Optionen. Laut Doku ist per 
default smtpd_sasl_auth_enable=no

Wie kann ich Auth after STARTTLS für Port 25 deaktivieren?

Viele Grüße, Frank

seconds 	
	test stage and result
[000.000] 	
	Trying TLS on xxx.xx.de[111.111.111.111:25] (-1)
[000.094] 	
	Server answered
[000.674] 	<‑‑ 	220 xxx.xx.de ESMTP
[000.674] 	
	We are allowed to connect
[000.674] 	‑‑> 	EHLO www11-do.CheckTLS.com
[000.767] 	<‑‑ 	250-xxx.xx.de
250-PIPELINING
250-SIZE 15000000
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[000.768] 	
	We can use this server
[000.768] 	
	TLS is an option on this server
[000.768] 	‑‑> 	STARTTLS
[000.861] 	<‑‑ 	220 2.0.0 Ready to start TLS
[000.861] 	
	STARTTLS command works on this server
[001.197] 	
	Connection converted to SSL

	
	SSLVersion in use: TLSv1_2

	
	Cipher in use: ECDHE-ECDSA-AES256-GCM-SHA384

	
	Perfect Forward Secrecy: yes

	
	Certificate #1 of 4 (sent by MX):

	
	Cert VALIDATED: ok

	
	Cert VALIDATED: ok

	
	Cert VALIDATED: ok

	
	Certificate #4 of 4 (sent by MX):

	
	Cert VALIDATED:
[001.286] 	~~> 	EHLO www11-do.CheckTLS.com
[001.380] 	<~~ 	250-xxx.xx.de
250-PIPELINING
250-SIZE 15000000
250-ETRN
250-AUTH PLAIN
250-AUTH=PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[001.380] 	
	TLS successfully started on this server
[001.380] 	~~> 	MAIL FROM:<test at checktls.com>
[001.474] 	<~~ 	250 2.1.0 Ok
[001.474] 	
	Sender is OK
[001.475] 	~~> 	QUIT
[001.568] 	<~~ 	221 2.0.0 Bye
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20211222/d77a8e64/attachment.htm>

Mehr Informationen über die Mailingliste Postfixbuch-users