Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tachtler:postfix_cipher_suiten [2014/01/09 10:01] – klaus
+++ tachtler:postfix_cipher_suiten [2014/01/09 10:30] (aktuell) – [Empfohlene Einstellungen] klaus
@@ Zeile 19: / Zeile 19: @@
 ==== smtpd_tls_mandatory_ciphers ====
-**smtpd_tls_mandatory_ciphers = medium (standard) ** Der TLS Verschlüsselungsalgorithmus-Grad, welcher [[http://www.postfix.org/|Postfix]] mindestens benutzt wird, wenn es um die verpflichtende //(mandatory TLS encryption)// TLS Verschlüsselung geht.
+**smtpd_tls_mandatory_ciphers = medium (standard = medium) ** Der TLS Verschlüsselungsalgorithmus-Grad, welcher [[http://www.postfix.org/|Postfix]] mindestens benutzt wird, wenn es um die verpflichtende //(mandatory TLS encryption)// TLS Verschlüsselung geht.
 Nachfolgende Werte sind hier möglich:
@@ Zeile 34: / Zeile 34: @@
 ==== smtpd_tls_mandatory_exclude_ciphers ====
-**smtpd_tls_mandatory_exclude_ciphers = ** Verschlüsselungsalgorithmen welche im Parameter **''smtpd_tls_mandatory_exclude_ciphers''** definiert sind, werden von der Definition im entsprechenden Grad (export, low, medium, high, null) ausgenommen.
+**smtpd_tls_mandatory_exclude_ciphers = (standard: leer)** Verschlüsselungsalgorithmen welche im Parameter **''smtpd_tls_mandatory_exclude_ciphers''** definiert sind, werden von der Definition im entsprechenden Grad (export, low, medium, high, null) ausgenommen.
 ==== smtpd_tls_mandatory_protocols ====
-**smtpd_tls_mandatory_protocols (default: !SSLv2)** Die SSL/TLS Protokolle, welche von [[http://www.postfix.org/|Postfix]] bei verpflichtender //(mandatory TLS encryption)// TLS Verschlüsselung akzeptiert werden.
+**smtpd_tls_mandatory_protocols (standard: !SSLv2)** Die SSL/TLS Protokolle, welche von [[http://www.postfix.org/|Postfix]] bei verpflichtender //(mandatory TLS encryption)// TLS Verschlüsselung akzeptiert werden.
 Wenn der Parameter **leer** ist, akzeptiert [[http://www.postfix.org/|Postfix]] alle verfügbaren SSL/TLS Protokoll Versionen bzw. Verschlüsselungsalgorithmen.
-Wenn der Parameter **nicht leer** ist, akzeptiert [[http://www.postfix.org/|Postfix]] kann nachfolgende Werte, welche durch Leerzeichen, Kommas oder Doppelpunkten getrennt werden:
+Wenn der Parameter **nicht leer** ist, akzeptiert [[http://www.postfix.org/|Postfix]] nachfolgende Werte, welche durch Leerzeichen, Kommas oder Doppelpunkten getrennt werden:
 ^ Protokollname ^ Hinweis ^
-| SSLv2         | Seit Bekanntwerden von Schwächen in dieser Protokoll, wird dieser **standardmäßig nicht mehr verwendet** (deprecated) !!!|
+| SSLv2         | Seit Bekanntwerden von Protokollschwächen, wird dieses **standardmäßig nicht mehr verwendet** (deprecated) !!!|
 | SSLv3         |         |
 | TLSv1         |         |
-| TLSv1.1       | Ab installierte [[http://www.openssl.org/|OpenSSL]] **Version 1.0.1** verfügbar! |
+| TLSv1.1       | Ab installierte [[http://www.openssl.org/|OpenSSL]] **Version 1.0.1** verfügbar/deaktivierbar ! |
-| TLSv1.2       | Ab installierte [[http://www.openssl.org/|OpenSSL]] **Version 1.0.1** verfügbar! |
+| TLSv1.2       | Ab installierte [[http://www.openssl.org/|OpenSSL]] **Version 1.0.1** verfügbar/deaktivierbar ! |
+==== smtpd_tls_protocols ====
-If the list is empty, the server supports all available SSL/TLS protocol versions. A non-empty value is a list of protocol names separated by whitespace, commas or colons. The supported protocol names are "SSLv2", "SSLv3" and "TLSv1", and are not case sensitive.
+**smtpd_tls_protocols = (standard: leer)** Dieser Parameter ermöglicht eine Liste von Protokollen zu hinterlegen, welche durch [[http://www.postfix.org/|Postfix]] bei opportunistischen //(opportunistic TLS)// TLS Verschlüsselung (bezeichnet die Verwendung des vorgeschlagenen Protokolls, bei nicht verpflichtender Verschlüsselung) die angegbenen Protokolle explizit zu verwenden oder explizit nicht zu verwenden (includ/exclude).
+Dieser Parameter wird sollte grundsätzlich bei seiner Standardeinstellung belassen werden, in der **__keine__** Parameter gesetzt sind!
+Wenn der Parameter **nicht leer** ist, akzeptiert [[http://www.postfix.org/|Postfix]] nachfolgende Werte, welche durch Leerzeichen, Kommas oder Doppelpunkten getrennt werden:
+^ Protokollname ^ Hinweis ^
+| SSLv2         |         |
+| SSLv3         |         |
+| TLSv1         |         |
+| TLSv1.1       | Ab installierte [[http://www.openssl.org/|OpenSSL]] **Version 1.0.1** verfügbar/deaktivierbar ! |
+| TLSv1.2       | Ab installierte [[http://www.openssl.org/|OpenSSL]] **Version 1.0.1** verfügbar/deaktivierbar ! |
+===== Empfohlene Einstellungen =====
+Nachfolgende Einstellungen bezeichnen die Einstellungen, welche gesetzt werden können um die Sicherheit zu erhöhen, gleichzeitig aber bei **sehr alten Partnern** oder **älteren Partnern** die Verfügbarkeit über bestimmte Protokolle zu verringern.
+Empfohlene (persönliche) Einstellungen:
+<code>
+# postconf -n | egrep smtpd_tls_\[m\|p\]
+smtpd_tls_protocols = !SSLv2
+</code>
+:!: **HINWEIS** - Hier wurde der Parameter **''smtpd_tls_protocols''** angepasst, um das Protokoll **''SSLv2''**, **__auch__** bei opportunistischen //(opportunistic TLS)// TLS Verschlüsselung (bezeichnet die Verwendung des vorgeschlagenen Protokolls, bei nicht verpflichtender Verschlüsselung) **__nicht__** zu verwenden!
+:!: **HINWEIS** - Alle anderen Parameter wurden **__nicht__** angepasst und sind auf die **Standardwerte** gesetzt!
+:!: **HINWEIS** - **Quelle: [[http://www.postfix.org/TLS_README.html|Postfix TLS Support]], [[http://www.postfix.org/TLS_README.html#server_cipher|Postfix TLS Support - Server-side cipher controls]]**