Servus zusammen! Ich wollte heute mal meine TLS-Richtlinien erneuern. Habe mir aktuelle via https://ssl-config.mozilla.org/#server=postfix&version=3.4.8&config=intermediate&openssl=1.1.1k&guideline=5.6 generieren lassen. Wenn ich jetzt jedoch meine `tls_medium_cipherlist` anpassen will (momentan wäre das `EECDH+AESGCM:EDH+AESGCM`), dann meckert Mailcow rum, dass meine Eingabe zu lang für das Parameterfeld ist. [upl-image-preview url=https://community.mailcow.email/assets/files/2023-04-17/1681732172-299672-bildschirmfoto-vom-2023-04-17-13-49-16.png] Das steht aktuell drin: `smtpd_tls_auth_only=yes smtp_tls_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1 smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1 smtpd_tls_mandatory_ciphers=medium tls_medium_cipherlist=EECDH+AESGCM:EDH+AESGCM tls_preempt_cipherlist=no` Wie bekomm ich jedoch nun das `ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384` da rein? Gibt's da einen Trick?

> @"Johnnii360"#p8585 Sollte man vielleicht in den Docs hinterlegen. Ist es: https://docs.mailcow.email/de/manual-guides/u_e-reeanble-weak-protocols/ > @"Johnnii360"#p8591 Das beste, das ich bisher kennenlernen durfte, war das von Pi-hole. Da bekommt man binnen weniger Stunden eine Antwort Das hat auch ein Zehnfaches der Nutzer.

TLS-Richtlinien: Parameter-Feld zu klein für Ciphers

Johnnii360

Servus zusammen!

Ich wollte heute mal meine TLS-Richtlinien erneuern. Habe mir aktuelle via https://ssl-config.mozilla.org/#server=postfix&version=3.4.8&config=intermediate&openssl=1.1.1k&guideline=5.6 generieren lassen. Wenn ich jetzt jedoch meine tls_medium_cipherlist anpassen will (momentan wäre das EECDH+AESGCM:EDH+AESGCM), dann meckert Mailcow rum, dass meine Eingabe zu lang für das Parameterfeld ist.

Das steht aktuell drin:

smtpd_tls_auth_only=yes smtp_tls_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1 smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1 smtpd_tls_mandatory_ciphers=medium tls_medium_cipherlist=EECDH+AESGCM:EDH+AESGCM tls_preempt_cipherlist=no

Wie bekomm ich jedoch nun das ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 da rein? Gibt’s da einen Trick?

Johnnii360

Echt jetzt… 4 Tage vergangen und keiner hat eine Idee oder ähnliches?! Das ist schon irgendwie… na ja…

Weiß ja nicht ob es weiterhin funktioniert, wenn man das einfach aufteilt?

pkernstock

Johnnii360 Echt jetzt… 4 Tage vergangen und keiner hat eine Idee oder ähnliches?! Das ist schon irgendwie… na ja…

Es ist auch, wie der Name sagt, ein Community-Forum. Mit einem englischen Post haettest du auch hoechstwahrscheinlich eine groessere Nutzermenge erreicht.

Johnnii360 Aktiviertes TLS 1.0 und 1.1 ist ziemlich fahrlässig, wenn man nur moderne Mail-Programme nutzt.

Wie @accolon ansprach geht es hierbei um Server-to-Server Kommunikation. Meines Wissens nach: Wenn nur TLSv1.2 und TLSv1.3 hinterlegt ist und aeltere Mail-Server (soll vorkommen) weder noch supporten, wird keine Verschluesselung verwendet. In anderen Worten: Schlechtere Verschluesselung ist besser als gar keine.

Johnnii360

Okay, konnte mir selber helfen. Nachdem es scheinbar niemanden gibt, der ansatzweise Ahnung hat. Grundsätzlich sind die Ciphers in /opt/mailcow-dockerized/data/conf/postfix/main.cf recht sicher, allerdings ist TLSv1 und TLSv1.1 aktiviert, was ein No Go ist!

Also bitte in Zukunft

smtpd_tls_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3

smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1

ändern.

Aktiviertes TLS 1.0 und 1.1 ist ziemlich fahrlässig, wenn man nur moderne Mail-Programme nutzt.

accolon

Das Problem sind nicht die Mailprogramme, sondern die Server-zu-Server-Kommunikation. Mit deaktivierten älteren TLS-Versionen wird es fremde Mailserver geben, die mit deinem nicht mehr kommunizieren können, sprich der Mailversand bzw. -empfang funktioniert so nicht mehr.

Die Standardkonfiguration von Mailcow entspricht dem RFC 7525:
https://datatracker.ietf.org/doc/html/rfc7525#section-3.1.1

Johnnii360

Aso okay. Dann hab ich’s mal rückgängig gemacht. 🙂 Sollte man vielleicht in den Docs hinterlegen.

D4niel

Johnnii360 Sollte man vielleicht in den Docs hinterlegen.

Ist es: https://docs.mailcow.email/de/manual-guides/u_e-reeanble-weak-protocols/

Johnnii360 Das beste, das ich bisher kennenlernen durfte, war das von Pi-hole. Da bekommt man binnen weniger Stunden eine Antwort

Das hat auch ein Zehnfaches der Nutzer.

Johnnii360

pkernstock Ist schon irgendwie mal wieder typisch, dass sich erst welche melden, wenn man meckert oder sich schon fast selber geholfen hat.

Klar, das hier ist ein Community Forum, aber es gibt Community Foren und Community Foren. Das beste, das ich bisher kennenlernen durfte, war das von Pi-hole. Da bekommt man binnen weniger Stunden eine Antwort, die zudem auch das behandelt, was man angesprochen hat. Die Leute dort haben auch einen festen Job und machen das so nebenbei. Aber sie bemühen sich sehr ihren Leuten so gut wie möglich zu helfen!

Einen Englisch sprachigen Thread habe ich auch eröffnet, nach 2 Tagen und trotzdem keine Antwort erhalten.