Postfix Ciphers

[Thor68]

Hi! Hoffe, hier eine Antwort zu bekommen.

Ich nutze Postfix als Bestandteil von Mailcow. Dessen Forum scheint müde oder überfordert zu sein.

Es geht um Cipher-Suites. Die Konfiguration der main.cf lässt vermuten, dass nur sicherere Algorithmen verwandt werden. Aber das ist nicht zutreffend, wie Tests beweisen. Die main.cf lässt sich mittels der extra.cf überschreiben.

Auf diesem Weg habe ich versucht, die als "Weak" gekennzeichneten Ciphers zu entfernen, was aber nur bedingt geklappt hat. Die eine oder andere Cipher wurde zwar entfernt, aber durch eine andere schwache ersetzt. Hat man schlussendlich alle deaktiviert, wird das ignoriert.

Ich bin mir bewusst, dass es ein Für und Wider gibt. Ich muss aber einen Server aufsetzen, der nur sichere Ciphers verwendet.

Ich nutze für das Auslesen der Ciphers ein eigenes Werkzeug. Damit lässt sich feststellen, dass so manches Unternehmen auch ausschließlich auf sichere Ciphers setzt und offensichtlich gut damit fährt.

Freue mich über jeden konstruktiven Vorschlag.

Gruß Thor

 

[fireon]

Ich nutze Postfix als Bestandteil von Mailcow. Dessen Forum scheint müde oder überfordert zu sein.

Jetzt bin ich auch überfordert ... wenn du uns jetzt noch den Zusammenhang mit Proxmox VE erklären könntest...?

 

[Thor68]

Jetzt bin ich auch überfordert ... wenn du uns jetzt noch den Zusammenhang mit Proxmox VE erklären könntest...?

Haha, okay, ich hatte über Google nach Postfix gesucht und einen Beitrag dazu gefunden, der mit dieser Plattform in Verbindung stand. Ich weiß ehrlich gesagt nicht, was Proxmox ist, aber ich dachte, womöglich ist Postfix ein Bestandteil davon. Das war wohl ein Fehlschuss.

 

[Thor68]

Mhm, hier geht es doch auch um Postfix!?

 

[fireon]

Mhm, hier geht es doch auch um Postfix!?

Ja, in Proxmox Mailgateway. Aber das ist ein komplettes differentes Produkt als Mailcow. Daher bitte im Mailcow Forum auf Hilfe warten, oder direkt beim Support nachfragen. Kann ich nur empfehlen, die sind sehr gut!

 

[boisbleu]

Ich kenne mich mit beiden Produkten nicht aus, betreue aber einige Mailserver eines anderen Herstellers. Dort bin ich vor Jahren auch mal das Thema Cipher angegangen. Lange Rede, kurzer Sinn: es ist viel einfacher die Beschränkungen mit den TLS Protokollen des Servers umzusetzen und dort z.B. nur noch TLSv1.2 und v1.3 zu nutzen. Bringt viel mehr, als sich mit den ganzen Ciphers rumzuärgern. ;-)

 

[Thor68]

Ich kenne mich mit beiden Produkten nicht aus, betreue aber einige Mailserver eines anderen Herstellers. Dort bin ich vor Jahren auch mal das Thema Cipher angegangen. Lange Rede, kurzer Sinn: es ist viel einfacher die Beschränkungen mit den TLS Protokollen des Servers umzusetzen und dort z.B. nur noch TLSv1.2 und v1.3 zu nutzen. Bringt viel mehr, als sich mit den ganzen Ciphers rumzuärgern. ;-)

Danke. Auf dem Mailserver wird tatsächlich nur TLS 1.2 und 1.3 verwandt. Trotz dessen tauchen die unsicheren Ciphers auf. Wenn das nicht so dringend wäre. Hatte auch versucht, explizit welche vorzugeben. Aber auch das wird wie das explizite Ausschließen nicht korrekt umgesetzt.

 

[Falk R.]

Dann such mal im Proxmox Mail Gateway Forum, ob da eventuell schon hilfreiches gepostet wurde. Hier im Proxmox VE Forum bist da da leider komplett falsch.

https://forum.proxmox.com/forums/proxmox-mail-gateway-deutsch-german.21/
https://forum.proxmox.com/forums/mail-gateway-installation-and-configuration.8/