ubuntuusers.de

nudeltabak schrieb:

• SSL Server Allows Anonymous Authentication Vulnerability (Port 25)

smtpd_sasl_security_options = noanonymous

• SSL Server Supports Weak Encryption Vulnerability (Port 25)

smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-R$

Hast du den Postfix danach mal durchgestartet? Welche Ciphers genau werden noch angemeckert?

misterunknown schrieb:

smtpd_sasl_security_options = noanonymous

Test läuft grad.

Hast du den Postfix danach mal durchgestartet? Welche Ciphers genau werden noch angemeckert?

Ja hab ich. Hier der Result von Qualys: (könnte auch für andere interessant sein)

#table cols="6"
CIPHER KEY-EXCHANGE AUTHENTICATION MAC ENCRYPTION(KEY-STRENGTH) GRADE
TLSv1_SUPPORTS_CIPHERS_WITH_NO_AUTHENTICATION _ _ _ _ _
EXP-ADH-RC4-MD5 DH(512) None MD5 RC4(40) _LOW_
ADH-RC4-MD5 DH None MD5 RC4(128) _MEDIUM_
EXP-ADH-DES-CBC-SHA DH(512) None SHA1 DES(40) _LOW_
ADH-DES-CBC-SHA DH None SHA1 DES(56) _LOW_
ADH-DES-CBC3-SHA DH None SHA1 3DES(168) _HIGH_
ADH-AES128-SHA DH None SHA1 AES(128) _MEDIUM_
ADH-AES256-SHA DH None SHA1 AES(256) _HIGH_
ADH-CAMELLIA128-SHA DH None SHA1 Camellia(128) _MEDIUM_
ADH-CAMELLIA256-SHA DH None SHA1 Camellia(256) _HIGH_
ADH-SEED-SHA DH None SHA1 SEED(128) _MEDIUM_
AECDH-RC4-SHA ECDH None SHA1 RC4(128) _MEDIUM_
AECDH-DES-CBC3-SHA ECDH None SHA1 3DES(168) _HIGH_
AECDH-AES128-SHA ECDH None SHA1 AES(128) _MEDIUM_
AECDH-AES256-SHA ECDH None SHA1 AES(256) _HIGH_

nudeltabak schrieb:

Ja hab ich. Hier der Result von Qualys: (könnte auch für andere interessant sein)

Die Option smtpd_tls_mandatory_exclude_ciphers scheint bei dir nicht zu greifen. Keine Ahnung warum. Meine Einstellungen sind ähnlich und ich erlaube keine Null-Ciphers:

1

smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA

Habs!

Funktionierte, als ich noch folgende Zeilen einfügte:

smtpd_tls_security_level = encrypt
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3

Ich bedanke mich (mal wieder) für die Hilfe misterunknown

nudeltabak schrieb:

Funktionierte, als ich noch folgende Zeilen einfügte:

smtpd_tls_security_level = encrypt
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3

Die erste Zeile würde ich unbedingt wieder raus nehmen! Die meisten Mailserver im Internet liefern nicht per SSL an, sondern unverschlüsselt. Mit dieser Option würdest du alle diese Server aussperren, sprich: du erhälst keine Mails mehr. In der Dokumentation steht dazu:

You can ENFORCE the use of TLS, so that the Postfix SMTP server announces STARTTLS and accepts no mail without TLS encryption, by setting "smtpd_tls_security_level = encrypt". According to RFC 2487 this MUST NOT be applied in case of a publicly-referenced Postfix SMTP server. This option is off by default and should only seldom be used.

nudeltabak schrieb:

Ich bedanke mich (mal wieder) für die Hilfe misterunknown

Gern.

Tja, sobald ich die Zeile wieder rausnahm, kamen auch die Probleme von vorher wieder zum Vorschein. Jemand eine Idee, wieso meine Einstellungen dann nicht greifen?

Sieh dir mal die Empfehlung im Guide Applied Crypto Hardening von bettercrypto.org an, damit solltest du deine Probleme loesen koennen.