SSLv3 deaktivieren

[Robert Schetterer]

Am 17.10.2014 um 11:27 schrieb Alexander Palm:
> Hallo,
> 
> gestern habe ich mit Schrecken von dem neuen SSL-Bug erfahren:
> 
> https://de.ssl-tools.net/poodle-test
> https://community.qualys.com/blogs/securitylabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack
> 
> Wo ja steht man solle SSLv3 am besten einfach abklemmen. Was ich auch
> gleich gemacht habe. Zumindest beim Apache ging es wie beschrieben. Bei
> Postfix scheint es mir aber dennoch aktiv zu sein...
> 
> Wie es hier steht:
> 
> http://www.postfix.org/postconf.5.html#smtpd_tls_mandatory_protocols
> 
> habe ich das eingestellt für vorsichtshalber alles:
> 
> Also:
> 
> smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
> smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
> smtp_tls_protocols = !SSLv2, !SSLv3
> 
> Es wird auch mit postconf nach einem Neustart so angezeigt - aber mit einem:
> 
> openssl s_client -ssl3  -startssl smtp -connect mailbox.org:25
> <http://mailbox.org:25>
> 
> Kommt es nicht zu einem Fehler - sondern es gibt einfach einen connect
> der auf den SMTP-Handshake wartet.
> 
> Hat schon jemand erfolgreich SSLv3 in Postfix abgeschaltet oder ist es
> eh zu viel Panikmache?icht 
> 
> Danke & Gruß, Alex

Laut engl Listen gibt es noch keinen poodle Angriff fuer smtp/postfix
es gibt einen opennssl update um den Angriff zu erschweren
du kannst sslv3 abschalten, wenn du tls security level "may" nutzt,
wird halt dann unverschluesselt uebertragen ( server zu server smtpd ),
ausserdem kann es je nach setup sein dass du zb win xp clients damit
ausschliesst von verschluesselten versenden ( client server smtp ), evtl
auch outlook 2003 auf win.x, "noch" gehst du also kein Risiko ein wenn
du sslv3 nicht abschaltest, es bleibt also deine Entscheidung, Tip siehe
in alten Logs nach, wieviel nicht spam sslv3 uebertragungen du hattest,
ich habe es auf unserern Server abgeschaltet derzeit ohne Beschwerden,
aber verschluesselte Uebertragung zu ein paar Server ist jetzt nicht
mehr möglich, es sind auch ein paar prominente deutsche Firmen dabei, am
schlechtesten waere es wenn du Verschluesselung zu einigen Maildomains
erwingen willst die aber nur sslv3 sprechen, dann bleiben die Mails
liegen, bzw du musst dann ein extra policy einrichten die eben fuer
diese Empfaenger wieder sslv 3 zulaesst

siehe auch

https://sys4.de/de/blog/2013/03/27/uebermittlungssicherheit-mit-mailservern-postfix-tls/

https://sys4.de/de/blog/2014/04/11/smtp-tls-ssl-heartbleed-fix-ironport-f5-probleme/

Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein