Am 14.08.2013 13:43, schrieb Jochen Fahrner via postfix-users:
Am 14.08.2013 13:02, schrieb Ralf Hildebrandt:
Also ich suche so:
ECDHE (elliptic curve diffie hellman ephemeral):
# zegrep "TLS connection established from.*with cipher.*ECDHE" /var/log/OLD/2013-08-*/mail.log* | awk '{printf("%s %s %s %s\n", $12, $13, $14, $15)}' | sort | uniq -c | sort -n 18 SSLv3 with cipher ECDHE-RSA-AES256-SHA 13523 TLSv1 with cipher ECDHE-RSA-AES256-SHA 17201 TLSv1 with cipher ECDHE-RSA-AES128-SHA 27290 TLSv1 with cipher ECDHE-RSA-RC4-SHA
Bei denen handelt es sich primär um Google, Freenet, Web.de und GMX.
Mit EHCDHE habe ich gar nichts. Ich habe nur folgende: 6 TLSv1 with cipher DHE-RSA-AES128-SHA 26 TLSv1 with cipher RC4-MD5 30 TLSv1 with cipher RC4-SHA 184 TLSv1 with cipher AES256-SHA 218 TLSv1 with cipher DHE-RSA-AES256-SHA 404 TLSv1 with cipher ADH-AES256-SHA
Da muss ich wohl noch dran arbeiten.
so wie ich das verstanden habe muesste DHE auch ausreichen EHCDHE ist extended per se schneller
http://vincent.bernat.im/en/blog/2011-ssl-perfect-forward-secrecy.html
Because the Diffie-Hellman exchange described above always uses new random values ·a· and ·b·, it is called Ephemeral Diffie-Hellman (EDH or DHE). Cipher suites like DHE-RSA-AES128-SHA use this protocol to achieve perfect forward secrecy1.
Using ECDHE-RSA-AES128-SHA cipher suite (with P-256 for example) is already a huge speed improvement over DHE-RSA-AES128-SHA thanks to the reduced size of the various parameters involved.
Ich nutze:
smtpd_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2 smtp_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2
Wozu ist das gut Protokolle auszuschliessen?
SSLv2 ist wohl per se kapput, die anderen haben wohl auch noch Macken
Best Regards MfG Robert Schetterer