bin gerade mal auf diese TLS-Testseite gestossen, die auch SMTP testet:
gibt noch Optimierungspotential - wüsste wie man’s beim postfix einstellt, bei exim aber nicht.
1 Like
Ah, cool such schon länger nach so nem ding für SMTP. Ich guck mal bei gelegenheit wie das geht.
Wenn wir hier links sammeln sei Mozilla Observatory und MXToolBox auch erwähnt. Ersteres hat allerdings nichts mit SMTP zu tun. 
Hab jetzt mal nachgerüstet:
tls_require_ciphers = \
${if =={$received_port}{25} \
{NORMAL:%COMPAT} \
{PFS:%SERVER_PRECEDENCE}}
aufm submission port sind nur perfect forward secrecy (PFS) cypher suites erlaubt und der server wählt die suite (SERVER_PRECEDENCE). @robelix meinst I sollt auf 25 auch die starken settings nehmen?
Für die Enumeration welche TLS Ciphers/welche TLS Version unterstützt wird:
- sslscan - GitHub - DinoTools/sslscan: SSLScan tests SSL/TLS enabled services to discover supported cipher suites
- nmap - nmap --script ssl-enum-ciphers -p 25,465,587 -v
Zur parabox, Port 587/submission | 64-bit block cipher 3DES vulnerable to SWEET32 attack | Broken cipher RC4 is deprecated by RFC 7465 | Ciphersuite uses MD5 for message integrity | Key exchange (secp192r1) of lower strength than certificate key
nmap kann sowas also auch inzwischen… 
Was das hardenize.com ankreidet ist imho nur der 192bit ECDH und das fehlende SERVER_PRECEDENCE.
ich hatte Ähnliches - aber durch - 1024 bit DH und server preference ist’s jetz da grünn:
Im Postfix war’s:
tls_preempt_cipherlist = yes
smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem
smtpd_tls_eecdh_grade = strong
btw noch Anmerkung zum hardenize: die scheinen die Ergebnisse eine ganze Woche zu cachen - zum schnell mal schauen ob sich eine Änderung bemerkbar macht nicht so toll…