SSLv3 deaktivieren
Alexander Palm
alexander.palm at gmail.com
Fr Okt 17 11:27:20 CEST 2014
Hallo,
gestern habe ich mit Schrecken von dem neuen SSL-Bug erfahren:
https://de.ssl-tools.net/poodle-test
https://community.qualys.com/blogs/securitylabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack
Wo ja steht man solle SSLv3 am besten einfach abklemmen. Was ich auch
gleich gemacht habe. Zumindest beim Apache ging es wie beschrieben. Bei
Postfix scheint es mir aber dennoch aktiv zu sein...
Wie es hier steht:
http://www.postfix.org/postconf.5.html#smtpd_tls_mandatory_protocols
habe ich das eingestellt für vorsichtshalber alles:
Also:
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
Es wird auch mit postconf nach einem Neustart so angezeigt - aber mit einem:
openssl s_client -ssl3 -startssl smtp -connect mailbox.org:25
Kommt es nicht zu einem Fehler - sondern es gibt einfach einen connect der
auf den SMTP-Handshake wartet.
Hat schon jemand erfolgreich SSLv3 in Postfix abgeschaltet oder ist es eh
zu viel Panikmache?
Danke & Gruß, Alex
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://de.postfix.org/pipermail/postfix-users/attachments/20141017/50049505/attachment.html>
Mehr Informationen über die Mailingliste postfix-users