[postfix-es] weak ephemeral Diffie-Hellman key

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

[postfix-es] weak ephemeral Diffie-Hellman key

Guillermo Pereyra
Estimados,

Con la nueva actualización de Thunderbird y Icedove no podemos usar ni IMAP ni POP3 por que supuestamente tenemos encriptación débil (vulnerable a logjam).
Ya creamos nuevas claves de 2048, agregamos las lineas (/etc/postfix/main.cf):

smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dhparams.pem
 
Pero los clientes siguen con los mismos errores:

"Error: An error occurred during a connection to mail.csirt-antel.com.uy:143.

SSL received a weak ephemeral Diffie-Hellman key in Server Key Exchange handshake message.

(Error code: ssl_error_weak_server_ephemeral_dh_key)"


"Error: An error occurred during a connection to mail.csirt-antel.com.uy:993.

SSL received a weak ephemeral Diffie-Hellman key in Server Key Exchange handshake message.

(Error code: ssl_error_weak_server_ephemeral_dh_key)"


Se que existe un pluggin que lo arregla, pero me gustaría reparar esto desde el servidor de Postfix.


Saludos,
Guillermo

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: [postfix-es] weak ephemeral Diffie-Hellman key

Jose Alberto
Quizás, las solución mas rápida y formal sea comprar un certificado valido.

Ahora

Buscando en google, como tu dices, las soluciones apuntan siempre al cliente y no a postfix.

En Zimbra, hablan del mismo problema: https://wiki.zimbra.com/wiki/Disabling_the_use_of_weak_DH_keys_in_Zimbra_Collaboration_mailboxd  Mas allá de postfix, pareciera que es algo en el contenido del certificado SSL.

No creo que sea Postfix, sino mas bien la estructura de los certificados, quizás por allí es que puedas solventar.

Seguiré investigando, por favor, si consigues la solución del lado del servidor, seria de gran utilidad que la compartieras por este medio.


2015-11-27 11:31 GMT-04:30 Guillermo Pereyra <[hidden email]>:
Estimados,

Con la nueva actualización de Thunderbird y Icedove no podemos usar ni IMAP ni POP3 por que supuestamente tenemos encriptación débil (vulnerable a logjam).
Ya creamos nuevas claves de 2048, agregamos las lineas (/etc/postfix/main.cf):

smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dhparams.pem
 
Pero los clientes siguen con los mismos errores:

"Error: An error occurred during a connection to mail.csirt-antel.com.uy:143.

SSL received a weak ephemeral Diffie-Hellman key in Server Key Exchange handshake message.

(Error code: ssl_error_weak_server_ephemeral_dh_key)"


"Error: An error occurred during a connection to mail.csirt-antel.com.uy:993.

SSL received a weak ephemeral Diffie-Hellman key in Server Key Exchange handshake message.

(Error code: ssl_error_weak_server_ephemeral_dh_key)"


Se que existe un pluggin que lo arregla, pero me gustaría reparar esto desde el servidor de Postfix.


Saludos,
Guillermo

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es



--
#############################
#   Sistema Operativo: Debian      #
#        Caracas, Venezuela          #
#############################

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: [postfix-es] weak ephemeral Diffie-Hellman key

Gabriel Cabillón
In reply to this post by Guillermo Pereyra

Guillermo Pereyra wrote:

> Estimados,
>
> Con la nueva actualización de Thunderbird y Icedove no podemos usar ni
> IMAP ni POP3 por que supuestamente tenemos encriptación débil
> (vulnerable a logjam).
> Ya creamos nuevas claves de 2048, agregamos las lineas
> (/etc/postfix/main.cf <http://main.cf>):
>
> smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4,
> MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5,
> CBC3-SHA
> smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dhparams.pem
>
> Pero los clientes siguen con los mismos errores:
>
> "Error: An error occurred during a connection to
> mail.csirt-antel.com.uy:143 <http://mail.csirt-antel.com.uy:143>.
>
> SSL received a weak ephemeral Diffie-Hellman key in Server Key Exchange
> handshake message.
>
> (Error code: ssl_error_weak_server_ephemeral_dh_key)"
>
>
> "Error: An error occurred during a connection to
> mail.csirt-antel.com.uy:993 <http://mail.csirt-antel.com.uy:993>.
>
> SSL received a weak ephemeral Diffie-Hellman key in Server Key Exchange
> handshake message.
>
> (Error code: ssl_error_weak_server_ephemeral_dh_key)"
>
>
> Se que existe un pluggin que lo arregla, pero me gustaría reparar esto
> desde el servidor de Postfix.
>
>
> Saludos,
> Guillermo
>
>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> [hidden email]
> http://lists.wl0.org/mailman/listinfo/postfix-es
>
Guillermo,

lo tengo configurado de acuerdo a estas recomendaciones y no he tenido
problemas con el Thunderbird.

http://postfix.1071664.n5.nabble.com/Update-to-recommended-TLS-settings-td78583.html

Saludos,
Gabriel Cabillón
heXa Consultoría Informática
Bv. Gral. Artigas 1233 Bis, C.P. 11200, Montevideo
http://www.hexa.com.uy Tel. (+598) 2400 5753

_______________________________________________
List de correo postfix-es para tratar temas del MTA postfix en español
[hidden email]
http://lists.wl0.org/mailman/listinfo/postfix-es
Loading...