On Mon, Feb 21, 2011 at 04:12:22PM +0100, Ralf Hildebrandt wrote:
- Stephan Schulze stephan.schulze@kapthon.com:
Hallo zusammen,
im Rahmen der PCI Zertifizierung wird gefordert, dass der SMTP Server nur mit einer Verschlüsselung angesprochen werden darf, die Medium bzw. High Ciphers verwendet.
smtpd_tls_ciphers = medium, high
Ralf, bist Du Dir da sicher?
http://www.postfix.org/postconf.5.html#smtpd_tls_mandatory_ciphers sagt zu medium: Enable "MEDIUM" grade or stronger OpenSSL ciphers. [..]
in 2.8
Denn: tls_null_cipherlist = eNULL:!aNULL tls_export_cipherlist = aNULL:-aNULL:ALL:+RC4:@STRENGTH tls_low_cipherlist = aNULL:-aNULL:ALL:!EXPORT:+RC4:@STRENGTH tls_medium_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:+RC4:@STRENGTH
Da steht auch kein !HIGH drin.
tls_high_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:!MEDIUM:+RC4:@STRENGTH