Guten Tag,
mir ist aufgefallen das bei KeyHelp (Postfix) standartmäßig Client-initiated renegotiation aktiviert ist, und dies kann ein negativen Impact auf die Mailserver Verfügbarkeit haben ich würde es gutheißen wenn diese Zeile in der folgenden Datei hinzugefügt wird:
/etc/postfix/main.cf
tls_ssl_options = NO_COMPRESSION NO_RENEGOTIATION
Mfg
Nico
Mod-Edit:
Startpost angepaßt.
Postfix Client-initiated renegotiation
Postfix Client-initiated renegotiation
Last edited by Jolinar on Mon 3. Jul 2023, 15:44, edited 1 time in total.
Reason: Mod-Edit
Reason: Mod-Edit
-
Jolinar
- Community Moderator
- Posts: 4004
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Postfix Client-initiated renegotiation
Kann man sicher drüber nachdenken. So wird ein Angriffsvektor weitgehend geschlossen.
BTW:
Zum Glück ist das ab TLS 1.3 obsolet, da ist die client-initiated renegotiation explizit ausgeschlossen.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: Postfix Client-initiated renegotiation
Hey,
Das stimmt, ich würde aber zurzeit kein empfehlen sein Mailserver auf only TLSv1.3 laufen zulassen. Da viele E-Mails dann wahrscheinlich nicht ankommen würden.
Und deswegen würde ich empfehlen dies hinzuzufügen, damit man erstmal auf der sicheren Seite ist bis es mal dazu Kommen wird das Mailserver auf only TLSv1.3 laufen was jedoch noch bischien dauern wird.
Mfg
Nico
Das stimmt, ich würde aber zurzeit kein empfehlen sein Mailserver auf only TLSv1.3 laufen zulassen. Da viele E-Mails dann wahrscheinlich nicht ankommen würden.
Und deswegen würde ich empfehlen dies hinzuzufügen, damit man erstmal auf der sicheren Seite ist bis es mal dazu Kommen wird das Mailserver auf only TLSv1.3 laufen was jedoch noch bischien dauern wird.
Mfg
Nico
-
Jolinar
- Community Moderator
- Posts: 4004
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Postfix Client-initiated renegotiation
Moderativer Hinweis:
Ich verschiebe den Thread mal in den Bereich Funktionswünsche...Da ist er besser aufgehoben.
Ich verschiebe den Thread mal in den Bereich Funktionswünsche...Da ist er besser aufgehoben.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
