[postfix-users] Forward Secrecy
Ralf Hildebrandt via postfix-users
postfix-users at de.postfix.org
Mi Aug 14 13:02:22 CEST 2013
* Jochen Fahrner via postfix-users <jf at fahrner.name>:
> Am 13.08.2013 14:51, schrieb Florian Streibelt:
> > Ralf hatte sich gerade woanders passend dazu aufgeregt, dass er vor über 2 Jahren mal was dazu geschrieben hat:
> >
> > http://blog.arschkrebs.de/blog/ecc-in-postfix/
>
>
> Ich hab das jetzt mal so konfiguriert. Verbindungen von und zu Posteo.de
> bekommen nun den Cipher ADH-AES256-SHA. Das ist kein ECC, oder?
>
> Brauch ich vielleicht noch ein smtpd_tls_exclude_ciphers = aNULL?
Also ich suche so:
ECDHE (elliptic curve diffie hellman ephemeral):
# zegrep "TLS connection established from.*with cipher.*ECDHE" /var/log/OLD/2013-08-*/mail.log* | awk '{printf("%s %s %s %s\n", $12, $13, $14, $15)}' | sort | uniq -c | sort -n
18 SSLv3 with cipher ECDHE-RSA-AES256-SHA
13523 TLSv1 with cipher ECDHE-RSA-AES256-SHA
17201 TLSv1 with cipher ECDHE-RSA-AES128-SHA
27290 TLSv1 with cipher ECDHE-RSA-RC4-SHA
Bei denen handelt es sich primär um Google, Freenet, Web.de und GMX.
Ich nutze:
smtpd_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2
smtp_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2
--
[*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Mehr Informationen über die Mailingliste postfix-users