Perfect Forward Secrecy [GELÖST]

[Jolinar]

Hallo,

ich hab mir gerade mal die Mailserverkonfiguration etwas genauer angeschaut. Dabei ist mir aufgefallen, daß in puncto PFS noch verbessert werden könnte.

Die Unterstützung für „elliptic curve cryptography“ kann man mit

Code: Select all

smtpd_tls_eecdh_grade = strong

aktivieren.

Damit der Server und nicht der Client die EDH-Verschlüsselungsmethode wählt, kann man

Code: Select all

tls_preempt_cipherlist = yes

setzen.

Möchte man die verwendeten Ciphers mitloggen, setzt man

Code: Select all

smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1

Wäre schön, wenn das noch implementiert werden würde.

Lesestoff dazu: Perfect Forward Secrecy (PFS) für Postfix und Dovecot einrichten

[Martin]

Hallo,

das sollte für das nächste Update kein Problem darstellen.

Bezüglich "tls_preempt_cipherlist", ist dieser Wert mittlerweile gefahrlos einsetzbar? Mein letzter Stand der Postfix Dokumentation war, dass dieses aus Kompatibilitätsgründen aktuell noch nicht empfohlen ist.

#98

[Jolinar]

Bezüglich "tls_preempt_cipherlist", ist dieser Wert mittlerweile gefahrlos einsetzbar? Mein letzter Stand der Postfix Dokumentation war, dass dieses aus Kompatibilitätsgründen aktuell noch nicht empfohlen ist.

Meines Wissens nach gab es da mal eine Zeit lang Probleme mit Win2003-Kisten. Sollte aber obsolet geworden sein, da Win2003 ja inzwischen Gruft-Status hat

[Martin]

Hallo,

sollte, in der Tat, ggf. sollte man für die Option aktuell noch dem Admin die Wahl überlassen.
(ich selbst verzichte z.B. auch bereits auf 3DES Cypher und nutze die ultra curve mir 384Bit )

Werden uns dazu nochmal beraten.

[Jolinar]

Falls es doch noch zu vereinzelten Problemen bei der Aushandlung des Verschlüsselungsverfahrens kommen sollte, hat man ja dank der Erhöhung des TLS-Loglevels noch die Möglichkeit, diesen auf die Spur zu kommen.
Ich setze die Konfiguration seit etwa 2 Jahren so ein und hatte noch keine Auffälligkeiten im Log.

Nachtrag:

ggf. sollte man für die Option aktuell noch dem Admin die Wahl überlassen.

Wenn ihr das eventuell als Checkbox einbauen würdet, hätte ich noch einen kleinen Extrawunsch für Leute wie mich, die z.B. WinXP oder Android < 5.0 garnicht auf ihrer Webpräsenz supporten wollen (quasi als Finetuning des Web-/Mailservers). Dann wäre es nämlich cool, wenn man noch Checkboxen zum Deaktivieren von TLSv1/TLSv1.1 und zur Auswahl verschiedener Ciphersuites hätte
Ich selber biete auf meinen Webauftritten nur noch TLSv1.2 an und orientiere mich bei der Auswahl der Ciphersuites hier: Security/Server Side TLS