Zitat von Jochen Fahrner jf@fahrner.name:
Hallo,
derzeit wird ja überall empfohlen SSLv3 abzuschalten, wegen Sicherheitslücken. Das scheint meinem Postfix aber nicht gut zu bekommen:
Oct 20 09:34:08 s2 postfix/smtpd[13063]: warning: TLS library problem: 13063:error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number:s3_srvr.c:965: Oct 20 09:34:08 s2 postfix/smtpd[13063]: lost connection after STARTTLS from mail02.rohde-schwarz.com[80.246.32.97] Oct 20 09:34:08 s2 postfix/smtpd[13063]: disconnect from mail02.rohde-schwarz.com[80.246.32.97]
- Die beschriebene Attacke ist zumindest zur Zeit noch sehr http spezifisch, SMTP ist nicht betroffen
- Bei öffentlichen SMTP ports macht es wenig Sinn auf Kosten der Kompatibilität irgendewelche Verfahren zu deaktivieren, weil die Alternative unverschlüsseltes SMTP ist
Sinnvoll wäre es smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 zu verwenden und auf dem Submission Port Verschlüsselung zu erzwingen.
http://www.postfix.org/postconf.5.html#smtpd_tls_mandatory_protocols
Gruß
Andi