tachtler:postfix_cipher_suiten
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
tachtler:postfix_cipher_suiten [2014/01/09 09:16] – klaus | tachtler:postfix_cipher_suiten [2014/01/09 10:30] (aktuell) – [Empfohlene Einstellungen] klaus | ||
---|---|---|---|
Zeile 3: | Zeile 3: | ||
Um für einen lauffähigen [[http:// | Um für einen lauffähigen [[http:// | ||
- | ===== Perfect Forward Secrecy | + | ===== Basis-Parameter |
- | **Perfect Forward Secrecy** schützt gegen nachträgliche Entschlüsselung und ist einfach in [[http:// | + | Der [[http:// |
+ | < | ||
+ | # postconf -d | egrep smtpd_tls_\[m\|p\] | ||
+ | smtpd_tls_mandatory_ciphers = medium | ||
+ | smtpd_tls_mandatory_exclude_ciphers = | ||
+ | smtpd_tls_mandatory_protocols = SSLv3, TLSv1 | ||
+ | smtpd_tls_protocols = | ||
+ | </ | ||
+ | ===== Basis-Parameter Erklärungen ===== | ||
+ | |||
+ | ==== smtpd_tls_mandatory_ciphers ==== | ||
+ | |||
+ | **smtpd_tls_mandatory_ciphers = medium (standard = medium) ** Der TLS Verschlüsselungsalgorithmus-Grad, | ||
+ | |||
+ | Nachfolgende Werte sind hier möglich: | ||
+ | |||
+ | ^ Grad ^ Beschreibung ^ | ||
+ | | export | Dies ist eine angemessene Einstellungen für öffentliche MTA und wird bei opportunistischen TLS-Verschlüsselung verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter **'' | ||
+ | | low | Hier werden mindestens einfache Verschlüsselungsalgorithmen verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter **'' | ||
+ | | medium | **STANDARD** - Hier werden mindestens Verschlüsselungsalgorithmen mit **mindestens 128-bit Schlüssellänge** verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter **'' | ||
+ | | high | Hier werden nur höhere Verschlüsselungsalgorithmen verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter **'' | ||
+ | | null | Hier werden **__keine__** Verschlüsselungsalgorithmen verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter **'' | ||
+ | |||
+ | Verschlüsselungsalgorithmen welche im Parameter **'' | ||
+ | |||
+ | ==== smtpd_tls_mandatory_exclude_ciphers ==== | ||
+ | |||
+ | **smtpd_tls_mandatory_exclude_ciphers = (standard: leer)** Verschlüsselungsalgorithmen welche im Parameter **'' | ||
+ | |||
+ | ==== smtpd_tls_mandatory_protocols ==== | ||
+ | |||
+ | **smtpd_tls_mandatory_protocols (standard: !SSLv2)** Die SSL/TLS Protokolle, welche von [[http:// | ||
+ | |||
+ | Wenn der Parameter **leer** ist, akzeptiert [[http:// | ||
+ | |||
+ | Wenn der Parameter **nicht leer** ist, akzeptiert [[http:// | ||
+ | |||
+ | ^ Protokollname ^ Hinweis ^ | ||
+ | | SSLv2 | Seit Bekanntwerden von Protokollschwächen, | ||
+ | | SSLv3 | ||
+ | | TLSv1 | ||
+ | | TLSv1.1 | ||
+ | | TLSv1.2 | ||
+ | |||
+ | ==== smtpd_tls_protocols ==== | ||
+ | |||
+ | **smtpd_tls_protocols = (standard: leer)** Dieser Parameter ermöglicht eine Liste von Protokollen zu hinterlegen, | ||
+ | |||
+ | Dieser Parameter wird sollte grundsätzlich bei seiner Standardeinstellung belassen werden, in der **__keine__** Parameter gesetzt sind! | ||
+ | |||
+ | Wenn der Parameter **nicht leer** ist, akzeptiert [[http:// | ||
+ | |||
+ | ^ Protokollname ^ Hinweis ^ | ||
+ | | SSLv2 | ||
+ | | SSLv3 | ||
+ | | TLSv1 | ||
+ | | TLSv1.1 | ||
+ | | TLSv1.2 | ||
+ | |||
+ | ===== Empfohlene Einstellungen ===== | ||
+ | |||
+ | Nachfolgende Einstellungen bezeichnen die Einstellungen, | ||
+ | |||
+ | Empfohlene (persönliche) Einstellungen: | ||
+ | |||
+ | < | ||
+ | # postconf -n | egrep smtpd_tls_\[m\|p\] | ||
+ | smtpd_tls_protocols = !SSLv2 | ||
+ | </ | ||
+ | |||
+ | :!: **HINWEIS** - Hier wurde der Parameter **'' | ||
+ | |||
+ | :!: **HINWEIS** - Alle anderen Parameter wurden **__nicht__** angepasst und sind auf die **Standardwerte** gesetzt! | ||
+ | |||
+ | :!: **HINWEIS** - **Quelle: [[http:// |
tachtler/postfix_cipher_suiten.1389255398.txt.gz · Zuletzt geändert: 2014/01/09 09:16 von klaus