Page 1 of 1
Secure mail server connection - insufficiently secure parameters for Diffie-Hellman key exchange
Posted: Tue 29. Mar 2022, 18:57
by Peter
Hallo,
ich habe gerade mal eine meiner E-Mail aktivierten Domains über ein Online Tool prüfen lassen und komme aber an einer Stelle nicht weiter weil ich nicht genau weiß wie sich das beheben lässt. Hier fehlt mir die zündende Idee
Mir wird angezeigt: At least one of your mail servers supports insufficiently secure parameters for Diffie-Hellman key exchange.
Bei Mailserver steht der Hostname des Servers...
Jemand eine Idee wie ich das beheben kann?
Es geht übrigens um folgendes Tool, vielleicht für den ein oder anderen auch interessant
https://internet.nl/test-mail/
Vielen Dank vorab!
Re: Secure mail server connection - insufficiently secure parameters for Diffie-Hellman key exchange
Posted: Tue 29. Mar 2022, 22:08
by Jolinar
Welches TLS ist als Minimum in der Panel Konfiguration >> TLS-Version & -Ciphers eingestellt?
Re: Secure mail server connection - insufficiently secure parameters for Diffie-Hellman key exchange
Posted: Wed 30. Mar 2022, 20:11
by Peter
Jolinar wrote: ↑Tue 29. Mar 2022, 22:08
Welches TLS ist als Minimum in der
Panel Konfiguration >> TLS-Version & -Ciphers eingestellt?
Dort ist die Standardkonfiguration aktiviert:
Re: Secure mail server connection - insufficiently secure parameters for Diffie-Hellman key exchange
Posted: Wed 30. Mar 2022, 22:29
by Jolinar
Peter wrote: ↑Wed 30. Mar 2022, 20:11
Dort ist die Standardkonfiguration aktiviert:
Dann sehe ich zwei Möglichkeiten, um dein Testergebnis zu verbessern:
1. Du stellst auf TLSv1.3 um (wird clientseitig noch nicht durchgehend unterstützt)
2. Du bleibst bei TLSv1.2, nutzt die benutzerdefinierte Konfiguration und verwendest zB. folgende Ciphers:
Code: Select all
DHE-PSK-AES256-GCM-SHA384
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-PSK-CHACHA20-POLY1305
DHE-DSS-AES128-GCM-SHA256
DHE-PSK-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
DHE-PSK-CHACHA20-POLY1305
DHE-DSS-AES256-GCM-SHA384
Beide Varianten sollten zu dem gewünschten Ergebnis führen. Allerdings solltest du dich in der Thematik gut genug auskennen um zu wissen, was du da veränderst.
Re: Secure mail server connection - insufficiently secure parameters for Diffie-Hellman key exchange
Posted: Thu 31. Mar 2022, 10:09
by Peter
Vielen Dank, so habe ich es jetzt auch gemacht, also auf benutzerdefiniert gestellt und dann nur die empfohlenen Cipher Suites hinzugefügt.
Letztendlich lag es an diese beiden Cipher die das Testtool als weak eingestuft hatte:
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-GCM-SHA384
Habe mir jetzt über das Tool
https://ciphersuite.info/ die empfohlenen Suites rausgesucht und eingefügt. Könnte mit der von dir vorgeschlagenen Liste übereinstimmen
Re: Secure mail server connection - insufficiently secure parameters for Diffie-Hellman key exchange
Posted: Thu 31. Mar 2022, 10:12
by Jolinar
Peter wrote: ↑Thu 31. Mar 2022, 10:09
Habe mir jetzt über das Tool
https://ciphersuite.info/ die empfohlenen Suites rausgesucht und eingefügt. Könnte mit der von dir vorgeschlagenen Liste übereinstimmen
Jupp, genau daher hab ich die Liste.
Re: Secure mail server connection - insufficiently secure parameters for Diffie-Hellman key exchange
Posted: Thu 31. Mar 2022, 10:33
by space2place
Ich verweise nochmal auf die Empfehlungen der BSI:
viewtopic.php?t=10442
Code: Select all
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES256-SHA384
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES128-CCM
ECDHE-ECDSA-AES256-CCM
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
DHE-DSS-AES128-SHA256
DHE-DSS-AES256-SHA256
DHE-DSS-AES128-GCM-SHA256
DHE-DSS-AES256-GCM-SHA384
DHE-RSA-AES128-SHA256
DHE-RSA-AES256-SHA256
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES128-CCM
DHE-RSA-AES256-CCM
Das wären die entsprechenden Cipher die in KeyHelp eingetragen werden müssen.
Re: Secure mail server connection - insufficiently secure parameters for Diffie-Hellman key exchange
Posted: Thu 31. Mar 2022, 10:50
by Jolinar
space2place wrote: ↑Thu 31. Mar 2022, 10:33
Das wären die entsprechenden Cipher die in KeyHelp eingetragen werden müssen.
Da sind aber die beiden Cipher dabei, die von seiner Testseite moniert wrrden:
Peter wrote: ↑Thu 31. Mar 2022, 10:09
Letztendlich lag es an diese beiden Cipher die das Testtool als weak eingestuft hatte:
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-GCM-SHA384
BTW:
Sorry, aber in Fragen Kompetenz steht das BSI nicht unbedingt ganz oben auf der Liste
Beispiele gefällig? ->
https://blog.fefe.de/?q=BSI 
Re: Secure mail server connection - insufficiently secure parameters for Diffie-Hellman key exchange
Posted: Thu 31. Mar 2022, 12:05
by space2place
Jolinar wrote: ↑Thu 31. Mar 2022, 10:50
Sorry, aber in Fragen Kompetenz steht das BSI nicht unbedingt ganz oben auf der Liste
Beispiele gefällig? ->
https://blog.fefe.de/?q=BSI
Das muss jeder für sich selber entscheiden wem er sein Glauben schenkt.
Re: Secure mail server connection - insufficiently secure parameters for Diffie-Hellman key exchange
Posted: Thu 31. Mar 2022, 12:15
by 24unix
Jolinar wrote: ↑Thu 31. Mar 2022, 10:50
Sorry, aber in Fragen Kompetenz steht das BSI nicht unbedingt ganz oben auf der Liste
War auch mein erster Gedanke.
Ich hatte 2 Sicherheitsüberprüfungen die von CERTS durchgeführt wurde die beim BSI „ausgebildet“ wurden.
Bei der ersten Einführung hat sich der Typ nicht mal entblödet auf Computerbtrug.de zuzugreifen, um eine WHOIS-Abfrage zu machen.
Unsere Linuxkisten und die SUNs und Alphas haben sie gar nicht angefasst, und von Windows hatten sie auch nur rudimentäre Ahnung.
Ich habe den Scheiß so nur mitgemacht weil wir so einen Internetzugang abseits vom Firmenstandard ins IT-Konzept bekommen haben.
Re: Secure mail server connection - insufficiently secure parameters for Diffie-Hellman key exchange
Posted: Thu 31. Mar 2022, 12:18
by space2place
Jolinar wrote: ↑Thu 31. Mar 2022, 10:50
Da sind aber die beiden Cipher dabei, die von seiner Testseite moniert wrrden:
Peter wrote: ↑Thu 31. Mar 2022, 10:09
Letztendlich lag es an diese beiden Cipher die das Testtool als weak eingestuft hatte:
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-GCM-SHA384
Sorry das ich nochmal drauf eingehe.. Aber ich zweifle auch dieses komische Tool an:
https://ciphersuite.info/cs/?software=o ... epage=true
Dort werden beide Ciphers als "Secure" bezeichnet. Ist halt immer die Frage wem man jetzt Glauben will.
Re: Secure mail server connection - insufficiently secure parameters for Diffie-Hellman key exchange
Posted: Thu 31. Mar 2022, 12:27
by Jolinar
Nicht immer gleich etwas als komisch bezeichnen, wenn man die Hintergründe nicht genau kennt.
Die beiden Cipher sind (unter Berücksichtigung gewisser Abwärtskompatibilitäten) schon noch als sicher einzustufen. Wen du bei dem von dir verlinkten Tool von "Secure" auf "Recommended" wechselst, dann tauchen diese Cipher nicht mehr in der Liste auf, weil sie eben nicht mehr dem aktuellen Stand der Technik entsprechen.
Auch Mozilla (
https://wiki.mozilla.org/Security/Server_Side_TLS) hat die beiden Cipher unter "Intermediate compatibility" noch gelistet.
Re: Secure mail server connection - insufficiently secure parameters for Diffie-Hellman key exchange
Posted: Thu 31. Mar 2022, 12:37
by Tobi
Ich würde als Unternehmer in Deutschland den Empfehlungen des BSI vertrauen und kann mir dann auch sicher sein DSGVO konform zu handeln.
Re: Secure mail server connection - insufficiently secure parameters for Diffie-Hellman key exchange
Posted: Thu 31. Mar 2022, 12:46
by space2place
Jolinar wrote: ↑Thu 31. Mar 2022, 12:27
Nicht immer gleich etwas als komisch bezeichnen, wenn man die Hintergründe nicht genau kennt.
Die beiden Cipher sind (unter Berücksichtigung gewisser Abwärtskompatibilitäten) schon noch als sicher einzustufen. Wen du bei dem von dir verlinkten Tool von "Secure" auf "Recommended" wechselst, dann tauchen diese Cipher nicht mehr in der Liste auf, weil sie eben nicht mehr dem aktuellen Stand der Technik entsprechen.
Auch Mozilla (
https://wiki.mozilla.org/Security/Server_Side_TLS) hat die beiden Cipher unter "Intermediate compatibility" noch gelistet.
Ok - Das ist für mich mal eine Erklärung die auch in meinen alten Schädel passt..
Dann wird demnächst bestimmt eine Anpassung der BSI erfolgen. Ich persönlich habe halt eine positive Einstellung zur BSI (war auch selbst mal vor Ort bei denen).