Ping uma porta específica

Question

burnersk

Asked: 2015-02-22 01:31:11 +0800 CST2015-02-22 01:31:11 +0800 CST 2015-02-22 01:31:11 +0800 CST

Como forçar um próprio conjunto de cifras no Postfix 2.11?

772

Eu gostaria de forçar um conjunto próprio de conjuntos de cifras TLS em vez de usar os do Postfix integrados.

Meu conjunto de cifras desejado é (retirado da configuração do nginx):

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

Infelizmente, não consigo encontrar uma referência para substituir os conjuntos de cifras. Encontrei avisos de que é possível, mas não como.

Como seria a configuração Postfix equivalente para smtpe smtpd?

Usando Debian/7, Postfix/2.11.2, OpenSSL/1.0.1e

3 respostas

Voted

sebix · Answer 1 · 2015-02-22T02:37:02+08:00

De Applied Crypto Hardening por bettercrypto.org :

smtpd_tls_security_level = may
smtp_tls_security_level = may
smtp_tls_loglevel = 1
# if you have authentication enabled, only offer it after STARTTLS
smtpd_tls_auth_only = yes
tls_ssl_options = NO_COMPRESSION
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers=high
tls_high_cipherlist=EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA

[ATUALIZAÇÃO: Como o projeto bettercrypto, de onde tenho a string cifrada, não está mais ativo, certifique-se de escolher sua string cifrada de uma fonte atual.]

Para master.cfvocê pode querer configurar a porta de envio apenas para TLS:

submission inet n - - - - smtpd
 -o smtpd_tls_security_level=encrypt
 -o tls_preempt_cipherlist=yes

No entanto, isso não impede o uso de cifras desatualizadas para o nível de segurança pode , de acordo com a solicitação pull #97 , você pode fazer isso com:

smtpd_tls_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3

Mas isso não foi mesclado com o seguinte motivo:

Vou encerrar isso, o SSLv3 faz sentido aqui, pois é melhor do que o bom e velho texto sem formatação.

Cedric Knight · Answer 2 · 2015-02-22T02:45:12+08:00

man postconfdiz "Você é fortemente encorajado a não alterar esta configuração."

No entanto, você pode, assim:

smtp_tls_security_level = encrypt
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_ciphers=high
smtpd_tls_security_level = encrypt
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers=high
tls_high_cipherlist=ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

Presumo que isso seja experimental e você não esteja preocupado com o fluxo de emails da maioria dos MTAs. Verifique se há "falha de handshake" nos logs do postfix. Eu sugiro testar com smtp_ output primeiro para que você possa ver o que está na fila e quaisquer sessões SMTP locais geradas pelo nginx não devem falhar.

Steffen Ullrich · Answer 3 · 2015-02-22T01:52:44+08:00

Steffen Ullrich

2015-02-22T01:52:44+08:002015-02-22T01:52:44+08:00

Está bem documentado. De http://www.postfix.org/TLS_README.html#server_cipher

smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5

0

Como forçar um próprio conjunto de cifras no Postfix 2.11?

Você pode passar usuário/passar para autenticação básica HTTP em parâmetros de URL?