[postfix-users] Forward Secrecy
Robert Schetterer via postfix-users
postfix-users at de.postfix.org
Mi Aug 14 13:36:07 CEST 2013
Am 14.08.2013 13:02, schrieb Ralf Hildebrandt via postfix-users:
> * Jochen Fahrner via postfix-users <jf at fahrner.name>:
>> Am 13.08.2013 14:51, schrieb Florian Streibelt:
>>> Ralf hatte sich gerade woanders passend dazu aufgeregt, dass er vor über 2 Jahren mal was dazu geschrieben hat:
>>>
>>> http://blog.arschkrebs.de/blog/ecc-in-postfix/
>>
>>
>> Ich hab das jetzt mal so konfiguriert. Verbindungen von und zu Posteo.de
>> bekommen nun den Cipher ADH-AES256-SHA. Das ist kein ECC, oder?
>>
>> Brauch ich vielleicht noch ein smtpd_tls_exclude_ciphers = aNULL?
>
> Also ich suche so:
>
> ECDHE (elliptic curve diffie hellman ephemeral):
>
> # zegrep "TLS connection established from.*with cipher.*ECDHE" /var/log/OLD/2013-08-*/mail.log* | awk '{printf("%s %s %s %s\n", $12, $13, $14, $15)}' | sort | uniq -c | sort -n
> 18 SSLv3 with cipher ECDHE-RSA-AES256-SHA
> 13523 TLSv1 with cipher ECDHE-RSA-AES256-SHA
> 17201 TLSv1 with cipher ECDHE-RSA-AES128-SHA
> 27290 TLSv1 with cipher ECDHE-RSA-RC4-SHA
>
> Bei denen handelt es sich primär um Google, Freenet, Web.de und GMX.
> Ich nutze:
>
geht scheinbar nur mit postix gelinked openssl ueber 1.x mit 0.9x
warning: Invalid TLS protocol list "!SSLv2, !TLSv1.1, !TLSv1.2":
disabling TLS support
> smtpd_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2
> smtp_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2
>
ansonsten
smtpd_tls_protocols = !SSLv2
smtp_tls_protocols = !SSLv2
Note: As of OpenSSL 1.0.1 two new protocols are defined, "TLSv1.1" and
"TLSv1.2". If an older Postfix version is linked against OpenSSL 1.0.1
or later, these, or any other new protocol versions, are unconditionally
enabled.
Best Regards
MfG Robert Schetterer
--
[*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Mehr Informationen über die Mailingliste postfix-users