[postfix-users] Verbindung zu Postfix nur mit ciphers medium/high erlauben

Mo Feb 21 16:08:13 CET 2011

Hallo zusammen,

im Rahmen der PCI Zertifizierung wird gefordert, dass der SMTP Server
nur mit einer Verschlüsselung angesprochen werden darf, die Medium bzw.
High Ciphers verwendet.

Meine Frage ist nun wie ich das Postfix beibringe.
Getestet wird mit dem Aufruf:
openssl s_client -connect [IP]:25 -starttls smtp -cipher LOW

Die derzeitige Konfiguration sieht wie folgt aus:

readme_directory = /usr/share/doc/postfix-2.3.3/README_FILES
virtual_mailbox_domains = $virtual_mailbox_maps,
hash:/var/spool/postfix/plesk/virtual_domains
virtual_alias_maps = $virtual_maps, hash:/var/spool/postfix/plesk/virtual
virtual_mailbox_maps = hash:/var/spool/postfix/plesk/vmailbox
transport_maps = hash:/var/spool/postfix/plesk/transport
smtpd_tls_cert_file = /etc/postfix/postfix_default.pem
smtpd_tls_key_file = $smtpd_tls_cert_file
smtpd_tls_CAfile = /etc/postfix/ca_chain.crt
#smtpd_tls_security_level = encrypt
smtpd_tls_security_level = may
#smtpd_tls_auth_only = yes
smtpd_use_tls = yes
smtp_tls_security_level = may
smtp_use_tls = yes
smtpd_sender_restrictions = check_sender_access
hash:/var/spool/postfix/plesk/blacklists, permit_sasl_authenticated,
check_client_access pcre:/var/spool/postfix/plesk/non_auth.re
smtp_send_xforward_command = yes
smtpd_authorized_xforward_hosts = 127.0.0.0/8
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions = permit_mynetworks, check_client_access
pcre:/var/spool/postfix/plesk/no_relay.re, permit_sasl_authenticated,
reject_unauth_destination
virtual_mailbox_base = /var/qmail/mailnames
virtual_uid_maps = static:110
virtual_gid_maps = static:31
virtual_transport = plesk_virtual
plesk_virtual_destination_recipient_limit = 1
smtpd_client_restrictions =
message_size_limit = 10240000

disable_vrfy_command = yes
smtpd_sasl_security_options = noanonymous, noplaintext
smtpd_tls_protocols = SSLv3, TLSv1
smtp_tls_protocols = SSLv3, TLSv1
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5
#smtpd_tls_security_level = encrypt

Ich erreiche das gewünschte Ergebnis, wenn ich den letzten Eintrag
"smtpd_tls_security_level" aktiviere, kann dann aber vom Server keine
E-Mail mehr versenden. Dies scheitert dann mit der Fehlermeldung:

host 127.0.0.1[127.0.0.1] said: 530 5.7.0 Must issue a
    STARTTLS command first (in reply to MAIL FROM command)

Irgendeine Idee wie ich die High Ciphers aktiviere und trotzdem noch
Mails von lokal versenden kann?

Vielen Dank und viele Grüße

Stephan Schulze

-- 
_______________________________
Stephan Schulze
Kapthon - DIGITAL TO DIALOG

Kapthon AG
Gebrüder-Batscheiderstr. 10
82041 Oberhaching
Germany
www.kapthon.com

phone +49 (0)89 / 12 47 875 - 34
fax +49 (0)89 / 12 47 875 - 99
mobile +49 (0)178 / 84 84 132
skype callto://stephanschulze

Sitz der Gesellschaft: München
Registergericht München, HRB 166715
Vorstand: Matthias Kapfhamer, Sven Thoenes
Aufsichtsratsvorsitzender: Dr. Jan Reger