ccchb/ansible
ccchb/ansible
6
1
Fork 1
Code Issues 3 Pull requests Releases Wiki Activity

SMTP-Submission ist ohne PFS möglich #25

New issue
Open
opened 2021-03-07 20:12:55 -06:00 by Fritz · 1 comment
Fritz commented 2021-03-07 20:12:55 -06:00
Owner
Copy link

Der Submission-Service (Port 587), bereitgestellt durch Postfix, auf emma.ccchb.de akzeptiert folgende Cipher-Suites ohne PFS:

  • CAMELLIA128-SHA
  • AES128-SHA

Da ausschließlich MUA mit dem Submission-Port kommunizieren (sollten), sollten diese Cipher-Suites entfernt werden.

Wahrscheinlich ist es am Besten, wenn dies über die master.cf von Postfix geschieht.

Der Submission-Service (Port 587), bereitgestellt durch Postfix, auf `emma.ccchb.de` akzeptiert folgende Cipher-Suites ohne PFS: * CAMELLIA128-SHA * AES128-SHA Da ausschließlich MUA mit dem Submission-Port kommunizieren (sollten), sollten diese Cipher-Suites entfernt werden. Wahrscheinlich ist es am Besten, wenn dies über die master.cf von Postfix geschieht.
Fritz changed title from TLS-Cipher-Suites für SMTP-Submission to SMTP-Submission ist ohne PFS möglich 2021-03-07 21:49:49 -06:00
crest self-assigned this 2021-03-08 05:13:58 -06:00
crest added this to the Enforce PFS cipher suites on emma milestone 2021-03-08 05:14:10 -06:00
crest removed their assignment 2021-03-08 05:14:16 -06:00
crest self-assigned this 2021-03-08 05:14:39 -06:00
Fritz commented 2021-03-10 06:01:25 -06:00
Author
Owner
Copy link

Eventuell bietet es sich an, folgende Config für Port 587 umzusetzen:

smtpd_tls_security_level=may
smtpd_tls_dh1024_param_file=/etc/postfix/ffdhe4096.pem
smtpd_tls_protocols=TLSv1.2, TLSv1.3
smtpd_tls_ciphers=medium
smtpd_tls_mandatory_protocols=TLSv1.2, TLSv1.3
smtpd_tls_mandatory_ciphers=medium
tls_medium_cipherlist=ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
tls_ssl_options=NO_RENEGOTIATION
tls_preempt_cipherlist=yes

Hierbei ist ffdhe4096.pem die aus RFC 7919 stammende 4096-Bit-Gruppe.

Zumindest sollten wir mindestens folgende Cipher Suites auf Port 25 erlauben:

ECDHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-CHACHA20-POLY1305
DHE-RSA-CHACHA20-POLY1305
DHE-RSA-AES256-CCM
ECDHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-CCM
ECDHE-RSA-AES256-SHA384
DHE-RSA-AES256-SHA256
ECDHE-RSA-AES128-SHA256
DHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-SHA
DHE-RSA-AES256-SHA
ECDHE-RSA-AES128-SHA
DHE-RSA-AES128-SHA
AES256-GCM-SHA384
AES256-CCM
AES128-GCM-SHA256
AES128-CCM
AES256-SHA256
AES128-SHA256
AES256-SHA
AES128-SHA

Dies ist die Liste der durch GMX unterstützen Cipher Suites (exkl. TLSv1.3) und sollte daher ausreichend sein, um jeden akzeptablen Mail-Server im Internet zu unterstützen.

Hier sollten wir evaluieren, ob wir noch die Cipher Suites ohne PFS auf Port 25 erlauben möchten. Meiner Meinung nach ist das akzeptabel, da ansonsten ein Fallback auf SMTP ohne TLS erfolgen könnte, was tendenziell nochmal schlechter ist.

Eventuell bietet es sich an, folgende Config für Port 587 umzusetzen: ``` smtpd_tls_security_level=may smtpd_tls_dh1024_param_file=/etc/postfix/ffdhe4096.pem smtpd_tls_protocols=TLSv1.2, TLSv1.3 smtpd_tls_ciphers=medium smtpd_tls_mandatory_protocols=TLSv1.2, TLSv1.3 smtpd_tls_mandatory_ciphers=medium tls_medium_cipherlist=ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 tls_ssl_options=NO_RENEGOTIATION tls_preempt_cipherlist=yes ``` Hierbei ist `ffdhe4096.pem` die aus RFC 7919 stammende 4096-Bit-Gruppe. Zumindest sollten wir mindestens folgende Cipher Suites auf Port 25 erlauben: ``` ECDHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-CHACHA20-POLY1305 DHE-RSA-CHACHA20-POLY1305 DHE-RSA-AES256-CCM ECDHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES128-CCM ECDHE-RSA-AES256-SHA384 DHE-RSA-AES256-SHA256 ECDHE-RSA-AES128-SHA256 DHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA DHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA DHE-RSA-AES128-SHA AES256-GCM-SHA384 AES256-CCM AES128-GCM-SHA256 AES128-CCM AES256-SHA256 AES128-SHA256 AES256-SHA AES128-SHA ``` Dies ist die Liste der durch GMX unterstützen Cipher Suites (exkl. TLSv1.3) und sollte daher ausreichend sein, um jeden _akzeptablen_ Mail-Server im Internet zu unterstützen. Hier sollten wir evaluieren, ob wir noch die Cipher Suites ohne PFS auf Port 25 erlauben möchten. Meiner Meinung nach ist das akzeptabel, da ansonsten ein Fallback auf SMTP ohne TLS erfolgen könnte, was tendenziell nochmal schlechter ist.
👍 1
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
master
No results found.
Labels
Clear labels
No items
No labels
Milestone
Clear milestone
No items
No milestone
Enforce PFS cipher suites on emma
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
crest
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: ccchb/ansible#25
No description provided.
Delete branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?