Inhaltsverzeichnis
Postfix Cipher Suiten
Um für einen lauffähigen Postfix Mail-Transport Agent zu überprüfen, welche Verschlüsselungsalgorithmen standardmäßig aktiv sind und wie evtl. noch die Verwendung von bestimmten Algorithmen beeinflusst werden kann, soll nachfolgend beschrieben werden.
Basis-Parameter
Der Postfix Mail-Transport Agent hat bestimmte Standardeinstellungen, was die Verwendung von Verschlüsselungsalgorithmen betrifft. Diese sind wie nachfolgend gezeigt eingestellt:
# postconf -d | egrep smtpd_tls_\[m\|p\] smtpd_tls_mandatory_ciphers = medium smtpd_tls_mandatory_exclude_ciphers = smtpd_tls_mandatory_protocols = SSLv3, TLSv1 smtpd_tls_protocols =
Basis-Parameter Erklärungen
smtpd_tls_mandatory_ciphers
smtpd_tls_mandatory_ciphers = medium (standard = medium) Der TLS Verschlüsselungsalgorithmus-Grad, welcher Postfix mindestens benutzt wird, wenn es um die verpflichtende (mandatory TLS encryption) TLS Verschlüsselung geht.
Nachfolgende Werte sind hier möglich:
Grad | Beschreibung |
---|---|
export | Dies ist eine angemessene Einstellungen für öffentliche MTA und wird bei opportunistischen TLS-Verschlüsselung verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_export_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten! |
low | Hier werden mindestens einfache Verschlüsselungsalgorithmen verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_low_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten! |
medium | STANDARD - Hier werden mindestens Verschlüsselungsalgorithmen mit mindestens 128-bit Schlüssellänge verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_medium_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten! |
high | Hier werden nur höhere Verschlüsselungsalgorithmen verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_high_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten! |
null | Hier werden keine Verschlüsselungsalgorithmen verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_null_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten! |
Verschlüsselungsalgorithmen welche im Parameter smtpd_tls_mandatory_exclude_ciphers
oder smtpd_tls_exclude_ciphers
definiert sind, werden von der Definition im entsprechenden Grad (export, low, medium, high, null) ausgenommen.
smtpd_tls_mandatory_exclude_ciphers
smtpd_tls_mandatory_exclude_ciphers = (standard: leer) Verschlüsselungsalgorithmen welche im Parameter smtpd_tls_mandatory_exclude_ciphers
definiert sind, werden von der Definition im entsprechenden Grad (export, low, medium, high, null) ausgenommen.
smtpd_tls_mandatory_protocols
smtpd_tls_mandatory_protocols (standard: !SSLv2) Die SSL/TLS Protokolle, welche von Postfix bei verpflichtender (mandatory TLS encryption) TLS Verschlüsselung akzeptiert werden.
Wenn der Parameter leer ist, akzeptiert Postfix alle verfügbaren SSL/TLS Protokoll Versionen bzw. Verschlüsselungsalgorithmen.
Wenn der Parameter nicht leer ist, akzeptiert Postfix nachfolgende Werte, welche durch Leerzeichen, Kommas oder Doppelpunkten getrennt werden:
smtpd_tls_protocols
smtpd_tls_protocols = (standard: leer) Dieser Parameter ermöglicht eine Liste von Protokollen zu hinterlegen, welche durch Postfix bei opportunistischen (opportunistic TLS) TLS Verschlüsselung (bezeichnet die Verwendung des vorgeschlagenen Protokolls, bei nicht verpflichtender Verschlüsselung) die angegbenen Protokolle explizit zu verwenden oder explizit nicht zu verwenden (includ/exclude).
Dieser Parameter wird sollte grundsätzlich bei seiner Standardeinstellung belassen werden, in der keine Parameter gesetzt sind!
Wenn der Parameter nicht leer ist, akzeptiert Postfix nachfolgende Werte, welche durch Leerzeichen, Kommas oder Doppelpunkten getrennt werden:
Empfohlene Einstellungen
Nachfolgende Einstellungen bezeichnen die Einstellungen, welche gesetzt werden können um die Sicherheit zu erhöhen, gleichzeitig aber bei sehr alten Partnern oder älteren Partnern die Verfügbarkeit über bestimmte Protokolle zu verringern.
Empfohlene (persönliche) Einstellungen:
# postconf -n | egrep smtpd_tls_\[m\|p\] smtpd_tls_protocols = !SSLv2
HINWEIS - Hier wurde der Parameter smtpd_tls_protocols
angepasst, um das Protokoll SSLv2
, auch bei opportunistischen (opportunistic TLS) TLS Verschlüsselung (bezeichnet die Verwendung des vorgeschlagenen Protokolls, bei nicht verpflichtender Verschlüsselung) nicht zu verwenden!
HINWEIS - Alle anderen Parameter wurden nicht angepasst und sind auf die Standardwerte gesetzt!
HINWEIS - Quelle: Postfix TLS Support, Postfix TLS Support - Server-side cipher controls