SSL / TLS Frage

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
5 messages Options
Reply | Threaded
Open this post in threaded view
|

SSL / TLS Frage

Günther J. Niederwimmer
Hallo Liste,

könnte einer von EUCH Profis mal auf meine TLS Einstellungen schauen ?

Nach Durchforstung des Netzes, bin ich mir nicht mehr sicher ob das alles so
stimmt was ich da eingetragen habe und ob das alles auf dem letzten Stand ist.

Ich hänge mal postconf -n an und hoffe ich bekomme Antworten ;-)

--
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer

postconf_n.txt (5K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: SSL / TLS Frage

Stefan Förster-4
Hallo Günther,

* "Günther J. Niederwimmer" <[hidden email]>:
>könnte einer von EUCH Profis mal auf meine TLS Einstellungen schauen ?

ich würde Dir start davon abraten, an den Default-TLS-Einstellungen
etwas zu verändern. Mail ist nicht HTTP, wenn wegen zu restriktiver
Crypto-Einstellungen keine verschlüsselte Verbindung zustande kommt,
dann wird im Klartext übermittelt.

Ausnahmen sind evt. für Submission-Endpunkte denkbar, aber nicht
notwendig.

Die Dokumentation ist zu finden unter:

http://www.postfix.org/TLS_README.html
http://www.postfix.org/FORWARD_SECRECY_README.html

Alle von mir betreuten Systeme setzen lediglich den Parameter
smtpd_tls_dh1024_param_file.


YMMV,
Stefan
Reply | Threaded
Open this post in threaded view
|

Re: SSL / TLS Frage

mailinglisten-2


Am 26.02.2018 um 09:39 schrieb Stefan Förster:
>
> ich würde Dir start davon abraten, an den Default-TLS-Einstellungen
> etwas zu verändern. Mail ist nicht HTTP, wenn wegen zu restriktiver
> Crypto-Einstellungen keine verschlüsselte Verbindung zustande kommt,
> dann wird im Klartext übermittelt.

Ich sehe das (etwas) anders. Die alten, heute unsicheren
Verschlüsselungsalgorythmen werden einfach nicht benötigt, denn gut
gewartete Mailsysteme unterstützen diese Verschlüsselungen und bei
schlecht gewarteten Systemen kommt es da auch nicht mehr drauf an.

Und unverschlüsselte Verbindungen kommen bei mir trotzdem nur noch in
wenigen Einzelfällen vor, der Prozentsatz ist schon fast nicht mehr
messbar. Ich würde es begrüßen, wenn die großen Anbieter dazu
übergingen, die verschlüsselte Übertragung obligatorisch zu machen. Ich
selbst überlege, dieses in nicht allzu ferner Zukunft auf den von mir
betreuten Systemen zu machen. Noch nicht jetzt, aber vielleicht in 6
oder 12 Monaten.

CU
Andreas
Reply | Threaded
Open this post in threaded view
|

Re: SSL / TLS Frage

André Peters
Ich weiß nicht. Eine relativ schlechte Verschlüsselung ist immer noch
besser als gar keine.

Plain-Text Sessions sind quasi Daten auf dem Silbertablett. Da kann
immer mal einer mitlesen, der es dank YouTube (meh) schafft einen
Sniffer einzuschalten. Sowas kann sogar beim Debugging zufällig
mitgeschnitten werden. Ich glaube nicht, dass viele von uns in der Lage
sind, einen potentiellen Angriff auf TLS auch auszuführen - ich
jedenfalls nicht :-). Sowas passiert dann auch nicht beiläufig oder nach
dem Motto "ich schaue mal, was ich so mitloggen kann". Es gibt sogar
_potentiell_ unsichere Cipher, die für die allermeisten Zwecke noch
tauglich sind.

Wer es anders sieht, _muss_ einfach obligatorisch verschlüsseln. Ich
finde die Idee auch gut, Andreas, und habe es auf bestimmten Accounts
sogar so konfiguriert. Es kommt sehr, sehr selten vor, dass Mails
abgelehnt werden müssen oder nicht rausfinden. :-)


Am 26.02.2018 um 10:30 schrieb Andreas Pothe:

>
> Am 26.02.2018 um 09:39 schrieb Stefan Förster:
>> ich würde Dir start davon abraten, an den Default-TLS-Einstellungen
>> etwas zu verändern. Mail ist nicht HTTP, wenn wegen zu restriktiver
>> Crypto-Einstellungen keine verschlüsselte Verbindung zustande kommt,
>> dann wird im Klartext übermittelt.
> Ich sehe das (etwas) anders. Die alten, heute unsicheren
> Verschlüsselungsalgorythmen werden einfach nicht benötigt, denn gut
> gewartete Mailsysteme unterstützen diese Verschlüsselungen und bei
> schlecht gewarteten Systemen kommt es da auch nicht mehr drauf an.
>
> Und unverschlüsselte Verbindungen kommen bei mir trotzdem nur noch in
> wenigen Einzelfällen vor, der Prozentsatz ist schon fast nicht mehr
> messbar. Ich würde es begrüßen, wenn die großen Anbieter dazu
> übergingen, die verschlüsselte Übertragung obligatorisch zu machen. Ich
> selbst überlege, dieses in nicht allzu ferner Zukunft auf den von mir
> betreuten Systemen zu machen. Noch nicht jetzt, aber vielleicht in 6
> oder 12 Monaten.
>
> CU
> Andreas


andre_peters.vcf (8 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: SSL / TLS Frage

Günther J. Niederwimmer
In reply to this post by Günther J. Niederwimmer
Hallo Liste,

Am Samstag, 24. Februar 2018, 15:54:59 CET schrieb Günther J. Niederwimmer:
> Hallo Liste,
>
> könnte einer von EUCH Profis mal auf meine TLS Einstellungen schauen ?
>
> Nach Durchforstung des Netzes, bin ich mir nicht mehr sicher ob das alles so
> stimmt was ich da eingetragen habe und ob das alles auf dem letzten Stand
> ist.
>
> Ich hänge mal postconf -n an und hoffe ich bekomme Antworten ;-)

Danke für  Eure Antworten.

Also was ich daraus entnehme ist eigentlich nichts falsch, sonder an und für
sich zu stark verschlüsselt ??

Was ich daraus entnehme ist eigentlich das SUSE Mailsystem das Problem ;-)

Na dann sehen wir mal...
--
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer