Am 14.08.2013 13:02, schrieb Ralf Hildebrandt via postfix-users:
- Jochen Fahrner via postfix-users jf@fahrner.name:
Am 13.08.2013 14:51, schrieb Florian Streibelt:
Ralf hatte sich gerade woanders passend dazu aufgeregt, dass er vor über 2 Jahren mal was dazu geschrieben hat:
Ich hab das jetzt mal so konfiguriert. Verbindungen von und zu Posteo.de bekommen nun den Cipher ADH-AES256-SHA. Das ist kein ECC, oder?
Brauch ich vielleicht noch ein smtpd_tls_exclude_ciphers = aNULL?
Also ich suche so:
ECDHE (elliptic curve diffie hellman ephemeral):
# zegrep "TLS connection established from.*with cipher.*ECDHE" /var/log/OLD/2013-08-*/mail.log* | awk '{printf("%s %s %s %s\n", $12, $13, $14, $15)}' | sort | uniq -c | sort -n 18 SSLv3 with cipher ECDHE-RSA-AES256-SHA 13523 TLSv1 with cipher ECDHE-RSA-AES256-SHA 17201 TLSv1 with cipher ECDHE-RSA-AES128-SHA 27290 TLSv1 with cipher ECDHE-RSA-RC4-SHA
Bei denen handelt es sich primär um Google, Freenet, Web.de und GMX. Ich nutze:
geht scheinbar nur mit postix gelinked openssl ueber 1.x mit 0.9x
warning: Invalid TLS protocol list "!SSLv2, !TLSv1.1, !TLSv1.2": disabling TLS support
smtpd_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2 smtp_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2
ansonsten
smtpd_tls_protocols = !SSLv2 smtp_tls_protocols = !SSLv2
Note: As of OpenSSL 1.0.1 two new protocols are defined, "TLSv1.1" and "TLSv1.2". If an older Postfix version is linked against OpenSSL 1.0.1 or later, these, or any other new protocol versions, are unconditionally enabled.
Best Regards MfG Robert Schetterer