Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
Postfix Cipher Suiten
Um für einen lauffähigen Postfix Mail-Transport Agent zu überprüfen, welche Verschlüsselungsalgorithmen standardmäßig aktiv sind und wie evtl. noch die Verwendung von bestimmten Algorithmen beeinflusst werden kann, soll nachfolgend beschrieben werden.
Basis-Parameter
Der Postfix Mail-Transport Agent hat bestimmte Standardeinstellungen, was die Verwendung von Verschlüsselungsalgorithmen betrifft. Diese sind wie nachfolgend gezeigt eingestellt:
# postconf -d | egrep smtpd_tls_\[m\|p\] smtpd_tls_mandatory_ciphers = medium smtpd_tls_mandatory_exclude_ciphers = smtpd_tls_mandatory_protocols = SSLv3, TLSv1 smtpd_tls_protocols =
Basis-Parameter Erklärungen
smtpd_tls_mandatory_ciphers
smtpd_tls_mandatory_ciphers = medium (standard) Der TLS Verschlüsselungsalgorithmus-Grad, welcher Postfix mindestens benutzt wird, wenn es um die verpflichtende (mandatory TLS encryption) TLS Verschlüsselung geht.
Nachfolgende Werte sind hier möglich:
Grad | Beschreibung |
---|---|
export | Dies ist eine angemessene Einstellungen für öffentliche MTA und wird bei opportunistischen TLS-Verschlüsselung verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_export_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten! |
low | Hier werden mindestens einfache Verschlüsselungsalgorithmen verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_low_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten! |
medium | STANDARD - Hier werden mindestens Verschlüsselungsalgorithmen mit mindestens 128-bit Schlüssellänge verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_medium_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten! |
high | Hier werden nur höhere Verschlüsselungsalgorithmen verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_high_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten! |
null | Hier werden keine Verschlüsselungsalgorithmen verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_null_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten! |
Verschlüsselungsalgorithmen welche im Parameter smtpd_tls_mandatory_exclude_ciphers
oder smtpd_tls_exclude_ciphers
definiert sind, werden von der Definition im entsprechenden Grad (export, low, medium, high, null) ausgenommen.
smtpd_tls_mandatory_exclude_ciphers
smtpd_tls_mandatory_exclude_ciphers =
Verschlüsselungsalgorithmen welche im Parameter smtpd_tls_mandatory_exclude_ciphers
definiert sind, werden von der Definition im entsprechenden Grad (export, low, medium, high, null) ausgenommen.