30.10.21, 10:35 +0200, Markus Winkler:
Ich persönlich tendiere jedenfalls schon dazu, dass man den Betreibern der Empfängerserver mittlerweile die Freiheit geben sollte, eben auch nur verschlüsselte Übertragungswege akzeptieren zu wollen.
Jeder kann natürlich (schon immer) seinen Server so konfigurieren, wie sie es für richtig hält. Wer keine unverschlüsselt eingelieferte Mail mehr annehmen will, soll das eben lassen. Ich bleibe allerdings dabei: Ich sehe keinen Sicherheitsgewinn darin, TLSv1 abzuschalten.
BTW: Lustigerweise gibt es gerade heute auf der englischen Postfix-Liste eine ähnliche Diskussion. Ich zitiere mal[1]:
30.10.21, 07:57 +0200, Viktor Dukhovni:
On Fri, Oct 29, 2021 at 10:39:50PM -0700, Dan Mahoney wrote:
I'm just going by the way ssllabs seems to score things for HTTPS, which seems to be where a lot of these cipher recommendations are based. You're still supporting TLS1.1? NOT WORTHY.
The crypto maximalists are misguided. We need *widely-used* crypto more than we need ludicrously storng crypto, especially if it is ludicrously strong or else NOTHING. See RFC7435.
[1]: https://marc.info/?l=postfix-users&m=163557349520026&w=2
Natürlich ändert das nichts an "Dein Server - Deine Regeln". Aber jemand, der sich fragt, ob er gewisse Postfix-Defaults ändern oder Verschlüsselungsprotokolle abschalten soll, ist m. E. verdammt gut beraten, Viktors Meinung nicht zu ignorieren, sondern zumindest in Betracht zu ziehen.