Вопросы Теги

Как вызвать собственный набор шифров в Постфиксе 2.11?

Я хотел бы вызвать собственный набор наборов шифров TLS, а не использовать Постфикс, созданный в.

Мой желаемый набор шифров (взят из nginx конфигурации):

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

К сожалению, я не могу найти, что ссылка переопределяет наборы шифров. Я нашел уведомления, что это возможно, но не как.

Как был бы похож на эквивалентную Постфиксную конфигурацию для smtp и smtpd?

Использование Debian/7, Постфикса/2.11.2, OpenSSL/1.0.1e

3
задан 21 February 2015 в 11:31
3 ответа

Из Прикладное усиление защиты шифрования от bettercrypto.org : 

smtpd_tls_security_level = may
smtp_tls_security_level = may
smtp_tls_loglevel = 1
# if you have authentication enabled, only offer it after STARTTLS
smtpd_tls_auth_only = yes
tls_ssl_options = NO_COMPRESSION
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers=high
tls_high_cipherlist=EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA

Здесь вы можете вставить свой собственный набор шифров, но я не рекомендую это делать. Шифровальная строка, выбранная проектом bettercrypto, была широко протестирована и обеспечивает максимальную совместимость, насколько это возможно, обеспечивая при этом максимальную безопасность. Порядок всех шифров очень важен, поэтому сервер и клиент согласовывают наилучший возможный шифр, предпочтительно с использованием прямой секретности, которая является верной для этого.

Для master.cf вы можете настроить порт отправки только в TLS: 

submission inet n - - - - smtpd
 -o smtpd_tls_security_level=encrypt
 -o tls_preempt_cipherlist=yes

Однако это не запрещает использование устаревших шифров для уровня безопасности может , согласно pull request # 97 , вы можете сделать это с помощью: 

smtpd_tls_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3

Но это не было объединено по следующей причине:

Я собираюсь закрыть это, SSLv3 имеет смысл здесь, поскольку он лучше, чем старый добрый открытый текст.

8
ответ дан 3 December 2019 в 04:49

человек postconf говорит: «Настоятельно рекомендуется не изменять этот параметр».

Тем не менее, вы можете, например: 

smtp_tls_security_level = encrypt
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_ciphers=high
smtpd_tls_security_level = encrypt
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers=high
tls_high_cipherlist=ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

Я предполагаю, что это экспериментально, и вас не беспокоит поток почты от большинства MTA. Проверьте наличие «сбоя рукопожатия» в журналах postfix. Я бы посоветовал сначала протестировать smtp_ outgoing, чтобы вы могли видеть, что находится в очереди, и любые локальные сеансы SMTP, генерируемые nginx, не должны терпеть неудачу.

3
ответ дан 3 December 2019 в 04:49

Это хорошо задокументировано. Из http://www.postfix.org/TLS_README.html#server_cipher 

smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5
0
ответ дан 3 December 2019 в 04:49

Теги

Похожие вопросы