Hallo,
gestern habe ich mit Schrecken von dem neuen SSL-Bug erfahren:
https://de.ssl-tools.net/poodle-test https://community.qualys.com/blogs/securitylabs/2014/10/15/ssl-3-is-dead-kil...
Wo ja steht man solle SSLv3 am besten einfach abklemmen. Was ich auch gleich gemacht habe. Zumindest beim Apache ging es wie beschrieben. Bei Postfix scheint es mir aber dennoch aktiv zu sein...
Wie es hier steht:
http://www.postfix.org/postconf.5.html#smtpd_tls_mandatory_protocols
habe ich das eingestellt für vorsichtshalber alles:
Also:
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 smtp_tls_protocols = !SSLv2, !SSLv3
Es wird auch mit postconf nach einem Neustart so angezeigt - aber mit einem:
openssl s_client -ssl3 -startssl smtp -connect mailbox.org:25
Kommt es nicht zu einem Fehler - sondern es gibt einfach einen connect der auf den SMTP-Handshake wartet.
Hat schon jemand erfolgreich SSLv3 in Postfix abgeschaltet oder ist es eh zu viel Panikmache?
Danke & Gruß, Alex
Am 17.10.2014 um 11:27 schrieb Alexander Palm:
Hallo,
gestern habe ich mit Schrecken von dem neuen SSL-Bug erfahren:
https://de.ssl-tools.net/poodle-test https://community.qualys.com/blogs/securitylabs/2014/10/15/ssl-3-is-dead-kil...
Wo ja steht man solle SSLv3 am besten einfach abklemmen. Was ich auch gleich gemacht habe. Zumindest beim Apache ging es wie beschrieben. Bei Postfix scheint es mir aber dennoch aktiv zu sein...
Wie es hier steht:
http://www.postfix.org/postconf.5.html#smtpd_tls_mandatory_protocols
habe ich das eingestellt für vorsichtshalber alles:
Also:
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 smtp_tls_protocols = !SSLv2, !SSLv3
Es wird auch mit postconf nach einem Neustart so angezeigt - aber mit einem:
openssl s_client -ssl3 -startssl smtp -connect mailbox.org:25 http://mailbox.org:25
Kommt es nicht zu einem Fehler - sondern es gibt einfach einen connect der auf den SMTP-Handshake wartet.
Hat schon jemand erfolgreich SSLv3 in Postfix abgeschaltet oder ist es eh zu viel Panikmache?icht
Danke & Gruß, Alex
Laut engl Listen gibt es noch keinen poodle Angriff fuer smtp/postfix es gibt einen opennssl update um den Angriff zu erschweren du kannst sslv3 abschalten, wenn du tls security level "may" nutzt, wird halt dann unverschluesselt uebertragen ( server zu server smtpd ), ausserdem kann es je nach setup sein dass du zb win xp clients damit ausschliesst von verschluesselten versenden ( client server smtp ), evtl auch outlook 2003 auf win.x, "noch" gehst du also kein Risiko ein wenn du sslv3 nicht abschaltest, es bleibt also deine Entscheidung, Tip siehe in alten Logs nach, wieviel nicht spam sslv3 uebertragungen du hattest, ich habe es auf unserern Server abgeschaltet derzeit ohne Beschwerden, aber verschluesselte Uebertragung zu ein paar Server ist jetzt nicht mehr möglich, es sind auch ein paar prominente deutsche Firmen dabei, am schlechtesten waere es wenn du Verschluesselung zu einigen Maildomains erwingen willst die aber nur sslv3 sprechen, dann bleiben die Mails liegen, bzw du musst dann ein extra policy einrichten die eben fuer diese Empfaenger wieder sslv 3 zulaesst
siehe auch
https://sys4.de/de/blog/2013/03/27/uebermittlungssicherheit-mit-mailservern-...
https://sys4.de/de/blog/2014/04/11/smtp-tls-ssl-heartbleed-fix-ironport-f5-p...
Best Regards MfG Robert Schetterer
participants (3)
-
Alexander Palm -
Robert Schetterer -
Stefan Gehn