[postfix-users] Forward Secrecy
Robert Schetterer via postfix-users
postfix-users at de.postfix.org
Do Aug 15 13:50:53 CEST 2013
Am 15.08.2013 13:18, schrieb Jochen via postfix-users:
> Ich hab mich jetzt noch ein bisschen durch die Materie gegoogelt.
>
> Laut diesem Artikel:
> http://www.heise.de/security/artikel/Forward-Secrecy-testen-und-einrichten-1932806.html
>
> Bietet Diffie-Hellmann die Forward Secrecy. Aber ich glaube das ist
> nicht ganz korrekt, ich denke es kommt auf den Zusatz "Ephemeral" an,
> wie man anderen Quellen entnehmen kann.
>
> Wenn man sich diese Liste anschaut:
> http://www.proftpd.org/docs/directives/linked/config_ref_TLSCipherSuite.html
>
> scheint ADH das "Ephemeral" nicht zu besitzen. Ist aber nur eine
> Vermutung von mir. Mist dass man überall nur so Andeutungen erfährt,
> aber nie was Genaues.
>
> Nach meinen Beobachtungen scheint das ADH bei den meisten Mailservern
> oberste Priorität zu haben (wegen dem geringsten Overhead), EDH kommt
> erst an zweiter Stelle.
>
> Seit ich mit aNULL alle anonymen Verfahren verbiete, bekomme ich jetzt
> viel häufiger EDH Verbindungen hin.
>
> Kann das jemand bestätigen?
> Gibt es "elegantere" Möglichkeiten ADH zu verhindern und EDH zu bevorzugen?
>
ich denke du kannst nur die Liste der verfuegbaren Cipher einschraenken
mit dem Risiko das gar nicht ,oder nicht verschluesselt verbunden wird
vermutlich ist es auch von der verwendeten openssl version abhaengig
bzw vom coder welche Verbindungsart prefferiert wird
Best Regards
MfG Robert Schetterer
--
[*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Mehr Informationen über die Mailingliste postfix-users