[postfix-users] Verbindung zu Postfix nur mit ciphers medium/high erlauben
Hallo zusammen,
im Rahmen der PCI Zertifizierung wird gefordert, dass der SMTP Server nur mit einer Verschlüsselung angesprochen werden darf, die Medium bzw. High Ciphers verwendet.
Meine Frage ist nun wie ich das Postfix beibringe. Getestet wird mit dem Aufruf: openssl s_client -connect [IP]:25 -starttls smtp -cipher LOW
Die derzeitige Konfiguration sieht wie folgt aus:
readme_directory = /usr/share/doc/postfix-2.3.3/README_FILES virtual_mailbox_domains = $virtual_mailbox_maps, hash:/var/spool/postfix/plesk/virtual_domains virtual_alias_maps = $virtual_maps, hash:/var/spool/postfix/plesk/virtual virtual_mailbox_maps = hash:/var/spool/postfix/plesk/vmailbox transport_maps = hash:/var/spool/postfix/plesk/transport smtpd_tls_cert_file = /etc/postfix/postfix_default.pem smtpd_tls_key_file = $smtpd_tls_cert_file smtpd_tls_CAfile = /etc/postfix/ca_chain.crt #smtpd_tls_security_level = encrypt smtpd_tls_security_level = may #smtpd_tls_auth_only = yes smtpd_use_tls = yes smtp_tls_security_level = may smtp_use_tls = yes smtpd_sender_restrictions = check_sender_access hash:/var/spool/postfix/plesk/blacklists, permit_sasl_authenticated, check_client_access pcre:/var/spool/postfix/plesk/non_auth.re smtp_send_xforward_command = yes smtpd_authorized_xforward_hosts = 127.0.0.0/8 smtpd_sasl_auth_enable = yes smtpd_recipient_restrictions = permit_mynetworks, check_client_access pcre:/var/spool/postfix/plesk/no_relay.re, permit_sasl_authenticated, reject_unauth_destination virtual_mailbox_base = /var/qmail/mailnames virtual_uid_maps = static:110 virtual_gid_maps = static:31 virtual_transport = plesk_virtual plesk_virtual_destination_recipient_limit = 1 smtpd_client_restrictions = message_size_limit = 10240000
disable_vrfy_command = yes smtpd_sasl_security_options = noanonymous, noplaintext smtpd_tls_protocols = SSLv3, TLSv1 smtp_tls_protocols = SSLv3, TLSv1 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 #smtpd_tls_security_level = encrypt
Ich erreiche das gewünschte Ergebnis, wenn ich den letzten Eintrag "smtpd_tls_security_level" aktiviere, kann dann aber vom Server keine E-Mail mehr versenden. Dies scheitert dann mit der Fehlermeldung:
host 127.0.0.1[127.0.0.1] said: 530 5.7.0 Must issue a STARTTLS command first (in reply to MAIL FROM command)
Irgendeine Idee wie ich die High Ciphers aktiviere und trotzdem noch Mails von lokal versenden kann?
Vielen Dank und viele Grüße
Stephan Schulze
* Stephan Schulze stephan.schulze@kapthon.com:
Hallo zusammen,
im Rahmen der PCI Zertifizierung wird gefordert, dass der SMTP Server nur mit einer Verschlüsselung angesprochen werden darf, die Medium bzw. High Ciphers verwendet.
smtpd_tls_ciphers = medium, high
in 2.8
Denn: tls_null_cipherlist = eNULL:!aNULL tls_export_cipherlist = aNULL:-aNULL:ALL:+RC4:@STRENGTH tls_low_cipherlist = aNULL:-aNULL:ALL:!EXPORT:+RC4:@STRENGTH tls_medium_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:+RC4:@STRENGTH tls_high_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:!MEDIUM:+RC4:@STRENGTH
Wie wäre die Konfigurationseinstellung bei Postfix 2.3.3? Da wird der genannte Parameter scheinbar nicht berücksichtigt.
Vielen Dank und viele Grüße
Stephan Schulze
Am 21.02.2011 16:12, schrieb Ralf Hildebrandt:
- Stephan Schulze stephan.schulze@kapthon.com:
Hallo zusammen,
im Rahmen der PCI Zertifizierung wird gefordert, dass der SMTP Server nur mit einer Verschlüsselung angesprochen werden darf, die Medium bzw. High Ciphers verwendet.
smtpd_tls_ciphers = medium, high
in 2.8
Denn: tls_null_cipherlist = eNULL:!aNULL tls_export_cipherlist = aNULL:-aNULL:ALL:+RC4:@STRENGTH tls_low_cipherlist = aNULL:-aNULL:ALL:!EXPORT:+RC4:@STRENGTH tls_medium_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:+RC4:@STRENGTH tls_high_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:!MEDIUM:+RC4:@STRENGTH
* Stephan Schulze stephan.schulze@kapthon.com:
Wie wäre die Konfigurationseinstellung bei Postfix 2.3.3? Da wird der genannte Parameter scheinbar nicht berücksichtigt.
Boah, keine Ahnung. Ist das überhaupt noch supported? 2.3.x wird ja von Wietse nicht mehr angefasst.
"Postfix 2.3 (no longer updated)"
Im Zweifelsfall mal auf der Amerikanischen Liste fragen, Victor sollte das wissen
On Mon, Feb 21, 2011 at 04:12:22PM +0100, Ralf Hildebrandt wrote:
- Stephan Schulze stephan.schulze@kapthon.com:
Hallo zusammen,
im Rahmen der PCI Zertifizierung wird gefordert, dass der SMTP Server nur mit einer Verschlüsselung angesprochen werden darf, die Medium bzw. High Ciphers verwendet.
smtpd_tls_ciphers = medium, high
Ralf, bist Du Dir da sicher?
http://www.postfix.org/postconf.5.html#smtpd_tls_mandatory_ciphers sagt zu medium: Enable "MEDIUM" grade or stronger OpenSSL ciphers. [..]
in 2.8
Denn: tls_null_cipherlist = eNULL:!aNULL tls_export_cipherlist = aNULL:-aNULL:ALL:+RC4:@STRENGTH tls_low_cipherlist = aNULL:-aNULL:ALL:!EXPORT:+RC4:@STRENGTH tls_medium_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:+RC4:@STRENGTH
Da steht auch kein !HIGH drin.
tls_high_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:!MEDIUM:+RC4:@STRENGTH
* Dennis Guhl lists@dguhl.org:
On Mon, Feb 21, 2011 at 04:12:22PM +0100, Ralf Hildebrandt wrote:
- Stephan Schulze stephan.schulze@kapthon.com:
Hallo zusammen,
im Rahmen der PCI Zertifizierung wird gefordert, dass der SMTP Server nur mit einer Verschlüsselung angesprochen werden darf, die Medium bzw. High Ciphers verwendet.
smtpd_tls_ciphers = medium, high
Ralf, bist Du Dir da sicher?
Nein
http://www.postfix.org/postconf.5.html#smtpd_tls_mandatory_ciphers sagt zu medium: Enable "MEDIUM" grade or stronger OpenSSL ciphers. [..]
Na, also nur medium, ist ja noch einfacher.
* Ralf Hildebrandt Ralf.Hildebrandt@charite.de:
smtpd_tls_ciphers = medium, high
Ralf, bist Du Dir da sicher?
Nein
http://www.postfix.org/postconf.5.html#smtpd_tls_mandatory_ciphers sagt zu medium: Enable "MEDIUM" grade or stronger OpenSSL ciphers. [..]
Na, also nur medium, ist ja noch einfacher.
Wobei medium EH der default ist, hui.
On Mon, Feb 21, 2011 at 04:32:06PM +0100, Ralf Hildebrandt wrote:
- Ralf Hildebrandt Ralf.Hildebrandt@charite.de:
smtpd_tls_ciphers = medium, high
Ralf, bist Du Dir da sicher?
Nein
http://www.postfix.org/postconf.5.html#smtpd_tls_mandatory_ciphers sagt zu medium: Enable "MEDIUM" grade or stronger OpenSSL ciphers. [..]
Na, also nur medium, ist ja noch einfacher.
Wobei medium EH der default ist, hui.
Das wäre dann der nächste Einwand geworden ;)
Hallo zusammen,
ich habe das Problem jetzt lösen können indem ich die Ciphers für tls_export beschränkt habe.
tls_export_cipherlist = !EXPORT:!LOW:ALL:+RC4:@STRENGT
Laut Dokumentation wird bei opportunistic tls IMMER export als Level verwendet.
Viele Grüße
Stephan Schulze
Am 21.02.2011 16:33, schrieb Dennis Guhl:
On Mon, Feb 21, 2011 at 04:32:06PM +0100, Ralf Hildebrandt wrote:
- Ralf Hildebrandt Ralf.Hildebrandt@charite.de:
smtpd_tls_ciphers = medium, high
Ralf, bist Du Dir da sicher?
Nein
http://www.postfix.org/postconf.5.html#smtpd_tls_mandatory_ciphers sagt zu medium: Enable "MEDIUM" grade or stronger OpenSSL ciphers. [..]
Na, also nur medium, ist ja noch einfacher.
Wobei medium EH der default ist, hui.
Das wäre dann der nächste Einwand geworden ;) _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
On Thu, Feb 24, 2011 at 09:26:00AM +0100, Stephan Schulze wrote:
Hallo zusammen,
ich habe das Problem jetzt lösen können indem ich die Ciphers für tls_export beschränkt habe.
tls_export_cipherlist = !EXPORT:!LOW:ALL:+RC4:@STRENGT
Laut Dokumentation wird bei opportunistic tls IMMER export als Level verwendet.
Du sagtest in Deiner initialen Mail, dass Dein Server nur mit MEDIUM oder stärker verschlüsselt angesprochen werden darf. Warum setzt Du dann TLS nur opportunistisch anstatt obligatorisch ein?
Siehe hier: http://www.postfix.org/postconf.5.html#smtpd_tls_mandatory_ciphers
Dennis
Weil der interne Mailversand dann nicht mehr geklappt hat. Sprich der Server konnte keine Mails aus Webapplikationen mehr versenden.
Viele Grüße
Stephan
Am 24.02.2011 11:35, schrieb Dennis Guhl:
On Thu, Feb 24, 2011 at 09:26:00AM +0100, Stephan Schulze wrote: Du sagtest in Deiner initialen Mail, dass Dein Server nur mit MEDIUM oder stärker verschlüsselt angesprochen werden darf. Warum setzt Du dann TLS nur opportunistisch anstatt obligatorisch ein?
Siehe hier: http://www.postfix.org/postconf.5.html#smtpd_tls_mandatory_ciphers
Dennis _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
On Thu, Feb 24, 2011 at 12:22:18PM +0100, Stephan Schulze wrote:
Weil der interne Mailversand dann nicht mehr geklappt hat. Sprich der Server konnte keine Mails aus Webapplikationen mehr versenden.
Wenn die Webapplikationen unverschlüsselt ankommen ist das das normale und erwartete Verhalten.
Bringe Deinen Webapplikationen entweder das (hinreichend stark) verschlüsselte Senden bei oder richte einen alternativen Port ein der nur auf localhost lauscht und unverschlüsselte Verbindungen akzeptiert.
Dir sollte klar sein, dass opportunistisches TLS nichts anderes bedeutet als dass der Server eingehend sowohl verschlüsselte _und_ _auch_ unverschlüsselte Verbindungen annimmt -- daher werden auch alle verfügbaren Verschlüsselungen akzeptiert.
Dennis
Moin,
ich habe das Problem jetzt lösen können indem ich die Ciphers für tls_export beschränkt habe.
tls_export_cipherlist = !EXPORT:!LOW:ALL:+RC4:@STRENGT
Bist Du sicher, dass das funktioniert? Ich habe das mal eben unter PF-2.8.1 zum Spaß ausprobiert:
Feb 24 11:56:35 mx0 postfix/smtpd[28141]: warning: TLS library problem: 28141:error:140E6118:SSL routines:SSL_CIPHER_PROCESS_RULESTR:invalid command:ssl_ciph.c:925: Feb 24 11:56:35 mx0 postfix/smtpd[28141]: warning: mx.fblan.de[2a01:4f8:120:31e2::165]:52922: invalid TLS cipher list: "! EXPORT:!LOW:ALL:+RC4:@STRENGT": aborting TLS session
LG Christian
Wir haben da noch ein sehr altes Postfix 2.3.3 laufen. Da funktioniert es noch. Ab 2.6 hat sich das meines Wissens geändert.
Viele Grüße
Stephan
Am 24.02.2011 12:06, schrieb Christian Roessner:
Moin,
ich habe das Problem jetzt lösen können indem ich die Ciphers für tls_export beschränkt habe.
tls_export_cipherlist = !EXPORT:!LOW:ALL:+RC4:@STRENGT
Bist Du sicher, dass das funktioniert? Ich habe das mal eben unter PF-2.8.1 zum Spaß ausprobiert:
Feb 24 11:56:35 mx0 postfix/smtpd[28141]: warning: TLS library problem: 28141:error:140E6118:SSL routines:SSL_CIPHER_PROCESS_RULESTR:invalid command:ssl_ciph.c:925: Feb 24 11:56:35 mx0 postfix/smtpd[28141]: warning: mx.fblan.de[2a01:4f8:120:31e2::165]:52922: invalid TLS cipher list: "! EXPORT:!LOW:ALL:+RC4:@STRENGT": aborting TLS session
LG Christian
participants (4)
-
Christian Roessner -
Dennis Guhl -
Ralf Hildebrandt -
Stephan Schulze