Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
Postfix Cipher Suiten
Um für einen lauffähigen Postfix Mail-Transport Agent zu überprüfen, welche Verschlüsselungsalgorithmen standardmäßig aktiv sind und wie evtl. noch die Verwendung von bestimmten Algorithmen beeinflusst werden kann, soll nachfolgend beschrieben werden.
Basis-Parameter
Der Postfix Mail-Transport Agent hat bestimmte Standardeinstellungen, was die Verwendung von Verschlüsselungsalgorithmen betrifft. Diese sind wie nachfolgend gezeigt eingestellt:
# postconf -d | egrep smtpd_tls_\[m\|p\] smtpd_tls_mandatory_ciphers = medium smtpd_tls_mandatory_exclude_ciphers = smtpd_tls_mandatory_protocols = SSLv3, TLSv1 smtpd_tls_protocols =
Basis-Parameter Erklärungen
smtpd_tls_mandatory_ciphers
smtpd_tls_mandatory_ciphers = medium (standard) Der TLS Verschlüsselungsalgorithmus-Grad, welcher Postfix mindestens benutzt wird, wenn es um die verpflichtende (mandatory TLS encryption) TLS Verschlüsselung geht.
Nachfolgende Werte sind hier möglich:
Grad | Beschreibung |
---|---|
export | Dies ist eine angemessene Einstellungen für öffentliche MTA und wird bei opportunistischen TLS-Verschlüsselung verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_export_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten! |
low | Hier werden mindestens einfache Verschlüsselungsalgorithmen verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_low_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten! |
medium | STANDARD - Hier werden mindestens Verschlüsselungsalgorithmen mit mindestens 128-bit Schlüssellänge verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_medium_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten! |
high | Hier werden nur höhere Verschlüsselungsalgorithmen verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_high_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten! |
null | Hier werden keine Verschlüsselungsalgorithmen verwendet. Die zugrunde liegenden Verschlüsselungsalgorithmen sind im Parameter tls_null_cipherlist hinterlegt, welche tunlichst nicht verändert werden sollten! |
Verschlüsselungsalgorithmen welche im Parameter smtpd_tls_mandatory_exclude_ciphers
oder smtpd_tls_exclude_ciphers
definiert sind, werden von der Definition im entsprechenden Grad (export, low, medium, high, null) ausgenommen.
smtpd_tls_mandatory_exclude_ciphers
smtpd_tls_mandatory_exclude_ciphers = Verschlüsselungsalgorithmen welche im Parameter smtpd_tls_mandatory_exclude_ciphers
definiert sind, werden von der Definition im entsprechenden Grad (export, low, medium, high, null) ausgenommen.
smtpd_tls_mandatory_protocols
smtpd_tls_mandatory_protocols (default: !SSLv2) Die SSL/TLS Protokolle, welche von Postfix bei verpflichtender (mandatory TLS encryption) TLS Verschlüsselung akzeptiert werden.
Wenn der Parameter leer ist, akzeptiert Postfix alle verfügbaren SSL/TLS Protokoll Versionen bzw. Verschlüsselungsalgorithmen.
Wenn der Parameter nicht leer ist, akzeptiert Postfix kann nachfolgende Werte, welche durch Leerzeichen, Kommas oder Doppelpunkten getrennt werden:
Protokollname | Hinweis |
---|---|
SSLv2 | Seit Bekanntwerden von Schwächen in dieser Protokoll, wird dieser standardmäßig nicht mehr verwendet (deprecated) !!! |
SSLv3 | |
TLSv1 | |
TLSv1.1 | Ab installierte OpenSSL Version 1.0.1 verfügbar/deaktivierbar ! |
TLSv1.2 | Ab installierte OpenSSL Version 1.0.1 verfügbar/deaktivierbar ! |