Page 1 of 1
Postfix Client-initiated renegotiation
Posted: Mon 3. Jul 2023, 14:42
by nico.exe
Guten Tag,
mir ist aufgefallen das bei KeyHelp (Postfix) standartmäßig Client-initiated renegotiation aktiviert ist, und dies kann ein negativen Impact auf die Mailserver Verfügbarkeit haben ich würde es gutheißen wenn diese Zeile in der folgenden Datei hinzugefügt wird:
/etc/postfix/main.cf
tls_ssl_options = NO_COMPRESSION NO_RENEGOTIATION
Mfg
Nico
Mod-Edit:
Startpost angepaßt.
Re: Postfix Client-initiated renegotiation
Posted: Mon 3. Jul 2023, 15:33
by Jolinar
nico.exe wrote: ↑Mon 3. Jul 2023, 14:42
ich würde es gutheißen wenn diese Zeile in der folgenden Datei hinzugefügt wird:
/etc/postfix/main.cf
tls_ssl_options = NO_COMPRESSION NO_RENEGOTIATION
Kann man sicher drüber nachdenken. So wird ein Angriffsvektor weitgehend geschlossen.
BTW:
Zum Glück ist das ab TLS 1.3 obsolet, da ist die client-initiated renegotiation explizit ausgeschlossen.
Re: Postfix Client-initiated renegotiation
Posted: Mon 3. Jul 2023, 15:38
by nico.exe
Hey,
Das stimmt, ich würde aber zurzeit kein empfehlen sein Mailserver auf only TLSv1.3 laufen zulassen. Da viele E-Mails dann wahrscheinlich nicht ankommen würden.
Und deswegen würde ich empfehlen dies hinzuzufügen, damit man erstmal auf der sicheren Seite ist bis es mal dazu Kommen wird das Mailserver auf only TLSv1.3 laufen was jedoch noch bischien dauern wird.
Mfg
Nico
Re: Postfix Client-initiated renegotiation
Posted: Mon 3. Jul 2023, 15:41
by Jolinar
Moderativer Hinweis:
Ich verschiebe den Thread mal in den Bereich Funktionswünsche...Da ist er besser aufgehoben.
Re: Postfix Client-initiated renegotiation
Posted: Mon 3. Jul 2023, 15:45
by nico.exe
Jolinar wrote: ↑Mon 3. Jul 2023, 15:41
Moderativer Hinweis:
Ich verschiebe den Thread mal in den Bereich Funktionswünsche...Da ist er besser aufgehoben.
Vielen Dank, ich wusste nicht direkt ob ich ein Thread in Fehler/Probleme oder Funktionswünsche machen soll
