Postfix obligatoire smtp / smtpd vs "non obligatoire" différence et configuration

Trois questions:

  1. Corrige moi si je me trompe:
    smtpd_tls_mandatory_ciphers => parameters pour le encryption TLS obligatoire entrant
    smtpd_tls_ciphers => parameters pour le encryption TLS opportuniste entrant
    smtp_tls_mandatory_ciphers => parameters pour le encryption TLS obligatoire sortant
    smtp_tls_ciphers => parameters pour le encryption TLS opportuniste sortant
  2. Si je définis à la fois smtpd_tls_security_level et smtp_tls_security_level à alors, seuls les parameters opportunistes sont pertinents, cela signifie peu importe ce que j'ai mis dans les obligatoires?
  3. Si je veux créer un server de messagerie sécurisé mais toujours public, la configuration suivante (en ce qui concerne la cryptography utilisée) est-elle correcte? Je ne suis pas trop sûr de savoir combien de servers supportent actuellement TLS ou quels niveaux de security en général, mais je veux toujours pouvoir communiquer avec la plupart d'entre eux.

     smtpd_tls_mandatory_ciphers = high smtp_tls_mandatory_ciphers = high smtpd_tls_ciphers = high smtp_tls_ciphers = high smtp_tls_security_level = may smtpd_tls_security_level = may smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_protocols = !SSLv2, !SSLv3 smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtp_tls_exclude_ciphers = aNULL, DES, RC4, MD5 smtpd_tls_exclude_ciphers = aNULL, DES, RC4, MD5 #hope this is enough since it is also added to the mandatory exclusions smtp_tls_exclude_ciphers = aNULL, DES, RC4, MD5 smtpd_tls_exclude_ciphers = aNULL, DES, RC4, MD5 

Context: c'est pour une entreprise orientée vers la security, avec des normes de security assez élevées, MAIS, je ne veux pas que les emails se perdent avec cette configuration.

PS: J'ai lu l'explication des parameters de configuration et c'est aussi là que la plupart de ma connaissance provient.

One Solution collect form web for “Postfix obligatoire smtp / smtpd vs "non obligatoire" différence et configuration”

  1. En ce qui concerne smtp[d]_tls_[mandatory_]ciphers

Oui.

  1. Si je définis à la fois smtpd_tls_security_level et smtp_tls_security_level à alors, seuls les parameters opportunistes sont pertinents, cela signifie peu importe ce que j'ai mis dans les obligatoires?

Oui.

  1. Si je veux créer un server de messagerie sécurisé mais toujours public, la configuration suivante (en ce qui concerne la cryptography utilisée) est-elle correcte?

Vous désactivez SSL et vous limitez les numbers, mais le trafic non chiffré est toujours autorisé. Je considère que le encryption incorrect est meilleur qu'aucun chiffrement, pour la communication avec d'autres servers de messagerie.

Pour citer le papier Applied Crypto Hardening (ACH) par Bettercrypto :

Postfix a cinq lists internes de numbers et la possibilité de basculer entre ceux avec smtpd_tls_ciphers . Cependant, nous laissons cette valeur par défaut pour les connections entre servers et servers, car de nombreux servers de messagerie ne prennent en charge que les protocoles et les parameters périmés. Nous considérons le mauvais encryption encore mieux que la transmission par text brut. Pour les connections aux MUA, TLS est obligatoire et la ciphersuite est modifiée.

Pour les connections aux clients de messagerie, il est très utile de limiter les chiffrages et les protocoles, ainsi que de préférer les bons.

Configuration du client MX et SMTP: comme indiqué dans la section 2.3.1, en raison du encryption opportuniste, nous ne limitons pas la list des codes ou des protocoles de communication avec d'autres servers de messagerie pour éviter la transmission en text brut.

La configuration recommandée est la suivante:

 # TLS parameters smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key # use 0 for Postfix >= 2.9, and 1 for earlier versions smtpd_tls_loglevel = 0 # enable opportunistic TLS support in the SMTP server and client smtpd_tls_security_level = may smtp_tls_security_level = may smtp_tls_loglevel = 1 # if you have authentication enabled, only offer it after STARTTLS smtpd_tls_auth_only = yes tls_ssl_options = NO_COMPRESSION smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_mandatory_ciphers=high tls_high_cipherlist=EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA smtpd_tls_eecdh_grade=ultra 

Et ceci pour master.cf :

 submission inet n - - - - smtpd -o smtpd_tls_security_level=encrypt -o tls_preempt_cipherlist=yes 

Avec la ciphersuite donnée, le server préfère les meilleures cibles disponibles, aussi Perfect Secrecy si possible et prend également en charge tous les clients pertinents sans permettre de mauvaises cips. Pour plus de détails s'il vous plaît voir le document lié, il donne très de détails des informations sur les recommandations, y compris la théorie. Les explications pour la section postfix ci-dessus sont fournies par moi (et revues par beaucoup d'autres).

  • Problèmes de security de la command Running avec script PHP
  • Comment puis-je rafraîchir le server de démonstration SaaS tous les jours à l'état d'origine?
  • ipsec vérifier sur ubuntu Deux ou plusieurs interfaces trouvées, vérification de la transmission IP
  • Postfix relaying to gmail now report
  • Impossible de déterminer votre nom d'user
  • GLSA-vérifier pour Ubuntu ou Debian?
  • x11vnc -gone: Impossible de verrouiller l'écran à l'aide de l'économiseur d'écran gnome
  • Le nom de domaine de pointage amazon ec2 sur l'ip élastique et la configuration ssl
  • Postfix - La livraison du courrier SMTP a échoué avec l'erreur "Connection time out out"
  • Comment puis-je envoyer un courrier de Tripwire à l'aide de SMTP?
  • Comment démarrer le server Apache automatiquement?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.