Tachtler's DokuWiki

Homepage | Kontakt | Rechtliche Informationen | Impressum

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
tachtler:postfix_cipher_suiten

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		Vorhergehende Überarbeitung
tachtler:postfix_cipher_suiten [2014/01/09 09:14] – angelegt klaustachtler:postfix_cipher_suiten [2014/01/09 10:30] (aktuell) – [Empfohlene Einstellungen] klaus
Zeile 3: Zeile 3:
 Um für einen lauffähigen [[http://www.postfix.org/|Postfix]] //Mail-Transport Agent// zu überprüfen, welche Verschlüsselungsalgorithmen standardmäßig aktiv sind und wie evtl. noch die Verwendung von bestimmten Algorithmen beeinflusst werden kann, soll nachfolgend beschrieben werden. Um für einen lauffähigen [[http://www.postfix.org/|Postfix]] //Mail-Transport Agent// zu überprüfen, welche Verschlüsselungsalgorithmen standardmäßig aktiv sind und wie evtl. noch die Verwendung von bestimmten Algorithmen beeinflusst werden kann, soll nachfolgend beschrieben werden.
  
 +===== Basis-Parameter =====
  
 +Der [[http://www.postfix.org/|Postfix]] //Mail-Transport Agent// hat bestimmte Standardeinstellungen, was die Verwendung von Verschlüsselungsalgorithmen betrifft. Diese sind wie nachfolgend gezeigt eingestellt:
  
 +<code>
 +# postconf -d | egrep smtpd_tls_\[m\|p\]
 +smtpd_tls_mandatory_ciphers = medium
 +smtpd_tls_mandatory_exclude_ciphers = 
 +smtpd_tls_mandatory_protocols = SSLv3, TLSv1
 +smtpd_tls_protocols =
 +</code>
 +
 +===== Basis-Parameter Erklärungen =====
 +
 +==== smtpd_tls_mandatory_ciphers ====
 +
 +**smtpd_tls_mandatory_ciphers = medium (standard = medium) ** Der TLS Verschlüsselungsalgorithmus-Grad, welcher [[http://www.postfix.org/|Postfix]] mindestens benutzt wird, wenn es um die verpflichtende //(mandatory TLS encryption)// TLS Verschlüsselung geht. 
 +
 +Nachfolgende Werte sind hier möglich:
 +
 +^ Grad  ^ Beschreibung ^
 +| export | Dies ist eine angemessene Einstellungen für öffentliche MTA und wird bei opportunistischen TLS-Verschlüsselung verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter **''tls_export_cipherlist''** hinterlegt, welche tunlichst **__nicht__** verändert werden sollten! |
 +| low    | Hier werden mindestens einfache Verschlüsselungsalgorithmen verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter **''tls_low_cipherlist''** hinterlegt, welche tunlichst **__nicht__** verändert werden sollten! |
 +| medium | **STANDARD** - Hier werden mindestens Verschlüsselungsalgorithmen mit **mindestens 128-bit Schlüssellänge** verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter **''tls_medium_cipherlist''** hinterlegt, welche tunlichst **__nicht__** verändert werden sollten! |
 +| high   | Hier werden nur höhere Verschlüsselungsalgorithmen verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter **''tls_high_cipherlist''** hinterlegt, welche tunlichst **__nicht__** verändert werden sollten! | 
 +| null   | Hier werden **__keine__** Verschlüsselungsalgorithmen verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter **''tls_null_cipherlist''** hinterlegt, welche tunlichst **__nicht__** verändert werden sollten! |
 +
 +Verschlüsselungsalgorithmen welche im Parameter **''smtpd_tls_mandatory_exclude_ciphers''** oder **''smtpd_tls_exclude_ciphers''** definiert sind, werden von der Definition im entsprechenden Grad (export, low, medium, high, null) ausgenommen.
 +
 +==== smtpd_tls_mandatory_exclude_ciphers ====
 +
 +**smtpd_tls_mandatory_exclude_ciphers = (standard: leer)** Verschlüsselungsalgorithmen welche im Parameter **''smtpd_tls_mandatory_exclude_ciphers''** definiert sind, werden von der Definition im entsprechenden Grad (export, low, medium, high, null) ausgenommen.
 +
 +==== smtpd_tls_mandatory_protocols ====
 +
 +**smtpd_tls_mandatory_protocols (standard: !SSLv2)** Die SSL/TLS Protokolle, welche von [[http://www.postfix.org/|Postfix]] bei verpflichtender //(mandatory TLS encryption)// TLS Verschlüsselung akzeptiert werden. 
 +
 +Wenn der Parameter **leer** ist, akzeptiert [[http://www.postfix.org/|Postfix]] alle verfügbaren SSL/TLS Protokoll Versionen bzw. Verschlüsselungsalgorithmen.
 +
 +Wenn der Parameter **nicht leer** ist, akzeptiert [[http://www.postfix.org/|Postfix]] nachfolgende Werte, welche durch Leerzeichen, Kommas oder Doppelpunkten getrennt werden:
 +
 +^ Protokollname ^ Hinweis ^
 +| SSLv2         | Seit Bekanntwerden von Protokollschwächen, wird dieses **standardmäßig nicht mehr verwendet** (deprecated) !!!|
 +| SSLv3                 |
 +| TLSv1                 |
 +| TLSv1.1       | Ab installierte [[http://www.openssl.org/|OpenSSL]] **Version 1.0.1** verfügbar/deaktivierbar ! |
 +| TLSv1.2       | Ab installierte [[http://www.openssl.org/|OpenSSL]] **Version 1.0.1** verfügbar/deaktivierbar ! |
 +
 +==== smtpd_tls_protocols ====
 +
 +**smtpd_tls_protocols = (standard: leer)** Dieser Parameter ermöglicht eine Liste von Protokollen zu hinterlegen, welche durch [[http://www.postfix.org/|Postfix]] bei opportunistischen //(opportunistic TLS)// TLS Verschlüsselung (bezeichnet die Verwendung des vorgeschlagenen Protokolls, bei nicht verpflichtender Verschlüsselung) die angegbenen Protokolle explizit zu verwenden oder explizit nicht zu verwenden (includ/exclude).
 +
 +Dieser Parameter wird sollte grundsätzlich bei seiner Standardeinstellung belassen werden, in der **__keine__** Parameter gesetzt sind!
 +
 +Wenn der Parameter **nicht leer** ist, akzeptiert [[http://www.postfix.org/|Postfix]] nachfolgende Werte, welche durch Leerzeichen, Kommas oder Doppelpunkten getrennt werden:
 +
 +^ Protokollname ^ Hinweis ^
 +| SSLv2                 |
 +| SSLv3                 |
 +| TLSv1                 |
 +| TLSv1.1       | Ab installierte [[http://www.openssl.org/|OpenSSL]] **Version 1.0.1** verfügbar/deaktivierbar ! |
 +| TLSv1.2       | Ab installierte [[http://www.openssl.org/|OpenSSL]] **Version 1.0.1** verfügbar/deaktivierbar ! |
 +
 +===== Empfohlene Einstellungen =====
 +
 +Nachfolgende Einstellungen bezeichnen die Einstellungen, welche gesetzt werden können um die Sicherheit zu erhöhen, gleichzeitig aber bei **sehr alten Partnern** oder **älteren Partnern** die Verfügbarkeit über bestimmte Protokolle zu verringern.
 +
 +Empfohlene (persönliche) Einstellungen:
 +
 +<code>
 +# postconf -n | egrep smtpd_tls_\[m\|p\]
 +smtpd_tls_protocols = !SSLv2
 +</code>
 +
 +:!: **HINWEIS** - Hier wurde der Parameter **''smtpd_tls_protocols''** angepasst, um das Protokoll **''SSLv2''**, **__auch__** bei opportunistischen //(opportunistic TLS)// TLS Verschlüsselung (bezeichnet die Verwendung des vorgeschlagenen Protokolls, bei nicht verpflichtender Verschlüsselung) **__nicht__** zu verwenden!
 +
 +:!: **HINWEIS** - Alle anderen Parameter wurden **__nicht__** angepasst und sind auf die **Standardwerte** gesetzt!
 +
 +:!: **HINWEIS** - **Quelle: [[http://www.postfix.org/TLS_README.html|Postfix TLS Support]], [[http://www.postfix.org/TLS_README.html#server_cipher|Postfix TLS Support - Server-side cipher controls]]**
tachtler/postfix_cipher_suiten.1389255247.txt.gz · Zuletzt geändert: 2014/01/09 09:14 von klaus