Benutzer-Werkzeuge

Webseiten-Werkzeuge


tachtler:postfix_cipher_suiten

Postfix Cipher Suiten

Um für einen lauffähigen Postfix Mail-Transport Agent zu überprüfen, welche Verschlüsselungsalgorithmen standardmäßig aktiv sind und wie evtl. noch die Verwendung von bestimmten Algorithmen beeinflusst werden kann, soll nachfolgend beschrieben werden.

Basis-Parameter

Der Postfix Mail-Transport Agent hat bestimmte Standardeinstellungen, was die Verwendung von Verschlüsselungsalgorithmen betrifft. Diese sind wie nachfolgend gezeigt eingestellt:

# postconf -d | egrep smtpd_tls_\[m\|p\]
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_exclude_ciphers = 
smtpd_tls_mandatory_protocols = SSLv3, TLSv1
smtpd_tls_protocols =

Basis-Parameter Erklärungen

smtpd_tls_mandatory_ciphers

smtpd_tls_mandatory_ciphers = medium (standard = medium) Der TLS Verschlüsselungsalgorithmus-Grad, welcher Postfix mindestens benutzt wird, wenn es um die verpflichtende (mandatory TLS encryption) TLS Verschlüsselung geht.

Nachfolgende Werte sind hier möglich:

Grad Beschreibung
export Dies ist eine angemessene Einstellungen für öffentliche MTA und wird bei opportunistischen TLS-Verschlüsselung verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_export_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten!
low Hier werden mindestens einfache Verschlüsselungsalgorithmen verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_low_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten!
medium STANDARD - Hier werden mindestens Verschlüsselungsalgorithmen mit mindestens 128-bit Schlüssellänge verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_medium_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten!
high Hier werden nur höhere Verschlüsselungsalgorithmen verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_high_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten!
null Hier werden keine Verschlüsselungsalgorithmen verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_null_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten!

Verschlüsselungsalgorithmen welche im Parameter smtpd_tls_mandatory_exclude_ciphers oder smtpd_tls_exclude_ciphers definiert sind, werden von der Definition im entsprechenden Grad (export, low, medium, high, null) ausgenommen.

smtpd_tls_mandatory_exclude_ciphers

smtpd_tls_mandatory_exclude_ciphers = (standard: leer) Verschlüsselungsalgorithmen welche im Parameter smtpd_tls_mandatory_exclude_ciphers definiert sind, werden von der Definition im entsprechenden Grad (export, low, medium, high, null) ausgenommen.

smtpd_tls_mandatory_protocols

smtpd_tls_mandatory_protocols (standard: !SSLv2) Die SSL/TLS Protokolle, welche von Postfix bei verpflichtender (mandatory TLS encryption) TLS Verschlüsselung akzeptiert werden.

Wenn der Parameter leer ist, akzeptiert Postfix alle verfügbaren SSL/TLS Protokoll Versionen bzw. Verschlüsselungsalgorithmen.

Wenn der Parameter nicht leer ist, akzeptiert Postfix nachfolgende Werte, welche durch Leerzeichen, Kommas oder Doppelpunkten getrennt werden:

Protokollname Hinweis
SSLv2 Seit Bekanntwerden von Protokollschwächen, wird dieses standardmäßig nicht mehr verwendet (deprecated) !!!
SSLv3
TLSv1
TLSv1.1 Ab installierte OpenSSL Version 1.0.1 verfügbar/deaktivierbar !
TLSv1.2 Ab installierte OpenSSL Version 1.0.1 verfügbar/deaktivierbar !

smtpd_tls_protocols

smtpd_tls_protocols = (standard: leer) Dieser Parameter ermöglicht eine Liste von Protokollen zu hinterlegen, welche durch Postfix bei opportunistischen (opportunistic TLS) TLS Verschlüsselung (bezeichnet die Verwendung des vorgeschlagenen Protokolls, bei nicht verpflichtender Verschlüsselung) die angegbenen Protokolle explizit zu verwenden oder explizit nicht zu verwenden (includ/exclude).

Dieser Parameter wird sollte grundsätzlich bei seiner Standardeinstellung belassen werden, in der keine Parameter gesetzt sind!

Wenn der Parameter nicht leer ist, akzeptiert Postfix nachfolgende Werte, welche durch Leerzeichen, Kommas oder Doppelpunkten getrennt werden:

Protokollname Hinweis
SSLv2
SSLv3
TLSv1
TLSv1.1 Ab installierte OpenSSL Version 1.0.1 verfügbar/deaktivierbar !
TLSv1.2 Ab installierte OpenSSL Version 1.0.1 verfügbar/deaktivierbar !

Empfohlene Einstellungen

Nachfolgende Einstellungen bezeichnen die Einstellungen, welche gesetzt werden können um die Sicherheit zu erhöhen, gleichzeitig aber bei sehr alten Partnern oder älteren Partnern die Verfügbarkeit über bestimmte Protokolle zu verringern.

Empfohlene (persönliche) Einstellungen:

# postconf -n | egrep smtpd_tls_\[m\|p\]
smtpd_tls_protocols = !SSLv2

:!: HINWEIS - Hier wurde der Parameter smtpd_tls_protocols angepasst, um das Protokoll SSLv2, auch bei opportunistischen (opportunistic TLS) TLS Verschlüsselung (bezeichnet die Verwendung des vorgeschlagenen Protokolls, bei nicht verpflichtender Verschlüsselung) nicht zu verwenden!

:!: HINWEIS - Alle anderen Parameter wurden nicht angepasst und sind auf die Standardwerte gesetzt!

:!: HINWEIS - Quelle: Postfix TLS Support, Postfix TLS Support - Server-side cipher controls

Cookies helfen bei der Bereitstellung von Inhalten. Durch die Nutzung dieser Seiten erklären Sie sich damit einverstanden, dass Cookies auf Ihrem Rechner gespeichert werden. Weitere Information
tachtler/postfix_cipher_suiten.txt · Zuletzt geändert: 2014/01/09 10:30 von klaus