STARTTLS SSLv3

fk+postfix at celebrate.de fk+postfix at celebrate.de
Mi Sep 25 08:31:56 CEST 2024


Am 24.09.2024 um 14:38 schrieb gnitzsche via Postfixbuch-users:

> On 2024-09-24 14:24, Frank Kirschner via Postfixbuch-users wrote:
>> Am 24.09.2024 um 13:35 schrieb Markus Heinze via Postfixbuch-users:
>>
>>>> dehydrated hat die Zertifikate und Schlüssel mit KEY_ALGO=secp384r1 
>>>> erstellt, habe das auf KEY_ALGO=rsa geändert und mittels --force 
>>>> neues Zertifikat und Schlüssel erstellt, danach Postfix neu geladen.
>>>> Leider wird immer noch nicht der Cipher DHE-RSA-AES256-GCM-SHA384 
>>>> zur Verfügung gestellt. Postfix läuft in Version 2.10.1 und openssl 
>>>> mit 1.0.2
>>>
>>>
>>> openssl 1.0.2x unterstützt diesen Cipher nicht, pass openssl und 
>>> abhängige Komponenten entsprechen an, dann geht das auch.
>> Danke, habe eben openssl 1.1.1k installiert, den Server neu gestartet:
>>
>> # openssl version
>> OpenSSL 1.1.1k  25 Mar 2021
>>
> <-snip->
>> ---
>>
>> Muss ich Postfix noch irgendwie beibringen, dass eine neue 
>> Openssl-Version installiert wurde?
>>
>
> Ist denn die cipher hier dabei?
>
> # /usr/bin/openssl ciphers -v
>
> Wird das openssl auch genutzt oder gibt's vielleicht noch was 
> in/usr/local/bin..?
> postconf -n (-d) | grep openssl_path
>
> Ja die cipher ist nun dabei:
> DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH       Au=RSA Enc=AESGCM(256) 
> Mac=AEAD
>>
>> Wird das openssl auch genutzt oder gibt's vielleicht noch was 
>> in/usr/local/bin..?
> # ls /usr/local/bin
> chardetect  detectvba.pl  rar  rebuild_rbldns.pl  unrar
>
>> postconf -n (-d) | grep openssl_path
> openssl_path wird als unused parameter deklariert. Die Postfix 
> Installation stammt laut den vorliegenden Unterlagen aus den CentOS 7 
> core rpms. Da CentOS 7 EOL ist, wird gerade ein neuer Mailserver 
> aufgebaut. 

> Kann es sein, dass das bei der Installation verwendete rpm aus einem 
> Build mit der Openssl Lib 1.0.1 stammt? Dann müsste postfix ja neu 
> compiliert werden, mit der openssl Lib 1.1.1

Auf dem neuen Server mit Postfix 3. ist der cipher vorhanden. Wäre 
natürlich toll, wenn wir während der Übergangs dien Postfix 2.x auch 
noch mit der cipher betreiben könnten.

lg Frank
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240925/3600e8de/attachment-0001.htm>


Mehr Informationen über die Mailingliste Postfixbuch-users