[postfix-users] Forward Secrecy

Martin Sebald via postfix-users postfix-users at de.postfix.org
Fr Aug 16 12:11:44 CEST 2013 

On 16.08.2013 11:56, Robert Schetterer via postfix-users wrote:
> Am 16.08.2013 11:37, schrieb Martin Sebald via postfix-users:
>> Stimmt, das habe ich eben auch festgestellt, als ich per TeamViewer auf die
>> Kiste kam. Siehe anderer Beitrag von eben mit dem Screenshot.
>> Dh ich schalte nun TLS ab und Thema erledigt?
>> Der lokale Exchange wird eh in 2-3 Wochen abgelöst durch einen WebExchange
>> Dienst.
>> Um ein "richtiges" Exchange Problem handelt es sich hier ja eh nicht. Es
>> geht ja "nur" um den SMTP Connector. Dh es ist eine eher spezielle Sache.
>> Macht es aber grundsätzlich nicht besser irgendwie.
> schaetze das ist ein Kunde von dir , sonst haettest du keinen Zugriff
> bekommen
> einen Tod muss du sterben, ich waere da pragmatisch,wenn es sich ohnehin
> nur um tmp handelt
> wieder tls_preempt_cipherlist = no
> nutzen ( dann sollte es wieder funktionieren ), die Ausnahme in
> smtpd_discard_ehlo_keyword_address_maps
> wieder raus machen, irgendeine Verschluesselung ist besser als gar
> keine, meiner Ansicht nach ,auch wenn Forward Secrecy dann erstmal nur
> fuer weniger Verbindungen angewendet wird, in 3 Wochen kannst du ja dann
> wieder auf tls_preempt_cipherlist = yes gehen
> real wirst du Forward Secrecy fuer alle Verbindungen wohl nie
> durchdruecken koennen
> wenn du nicht staendig support haben willst, besonders nicht wenn du
> Vertraege fuer relay hast, oder du musst fuer sowas eben genaue
> Handlungs/Setup anweisungen geben, dann bist du aus dem Schneider wenn
> jemand sich nicht daran haelt

Da ich erstmal mit der Config fahren will, auch um andere Probleme zu
erkennen, die ggf noch kommen, ist es mir in dem Fall lieber gewesen,
Verschlüsselung auf dem Exchange komplett abzuschalten. Kunde ist
übertrieben. Eher Kunde vom Kunden. Ist alles eine Sonderlocke, weil er
zwar ne feste IP hat, aber diese in der Dialuprange der Telekom ist und er
so keine Mails versenden kann. Temporär, da wie gesagt in 2-3 Wochen der
WebExchange kommt. Da ich das nur am Rande mitbekomme und hier wieder an
der Config schrauben müsste, bin ich nun so herum vorgegangen. Widerspricht
natürlich meiner Grundeinstellung zum Thema Verschlüsselung, das sollte
klar sein. ;-)

Mich würde halt interessieren, wie (genau dieser) Exchange agieren würde,
wenn er Mails "normal" ausliefern würde und nicht alles an den SMTP-Relay
mit SMTP-Auth geht. Da ich ansonsten keine Fehler erkenne, sollte das an
sich klappen. Denn statistisch gesehen sollte bei mir in den letzten 2
Tagen ja auch mal ne Mail von einem Exchange 2003 angekommen sein.

Viele Grüße,
Martin

Mehr Informationen über die Mailingliste postfix-users