mailserver tls

parabox

#1

bin gerade mal auf diese TLS-Testseite gestossen, die auch SMTP testet:

https://www.hardenize.com/report/it-syndikat.org/1520420400#email_tls

gibt noch Optimierungspotential - wüsste wie man’s beim postfix einstellt, bei exim aber nicht.


#2

Ah, cool such schon länger nach so nem ding für SMTP. Ich guck mal bei gelegenheit wie das geht.


#3

Wenn wir hier links sammeln sei Mozilla Observatory und MXToolBox auch erwähnt. Ersteres hat allerdings nichts mit SMTP zu tun. :thinking:


#4

Hab jetzt mal nachgerüstet:

tls_require_ciphers = \
	${if =={$received_port}{25} \
		{NORMAL:%COMPAT} \
		{PFS:%SERVER_PRECEDENCE}}

aufm submission port sind nur perfect forward secrecy (PFS) cypher suites erlaubt und der server wählt die suite (SERVER_PRECEDENCE). @robelix meinst I sollt auf 25 auch die starken settings nehmen?


#5

Für die Enumeration welche TLS Ciphers/welche TLS Version unterstützt wird:


#6

Zur parabox, Port 587/submission
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
| Broken cipher RC4 is deprecated by RFC 7465
| Ciphersuite uses MD5 for message integrity
| Key exchange (secp192r1) of lower strength than certificate key


#7

nmap kann sowas also auch inzwischen… :hugs:

Was das hardenize.com ankreidet ist imho nur der 192bit ECDH und das fehlende SERVER_PRECEDENCE.

ich hatte Ähnliches - aber durch - 1024 bit DH und server preference ist’s jetz da grünn:

Im Postfix war’s:

tls_preempt_cipherlist = yes
smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem
smtpd_tls_eecdh_grade = strong

btw noch Anmerkung zum hardenize: die scheinen die Ergebnisse eine ganze Woche zu cachen - zum schnell mal schauen ob sich eine Änderung bemerkbar macht nicht so toll…