Postfix 2.11 und smtpd_tls_dh1024_param_file

Patrick Ben Koetter p at sys4.de
Do Mai 21 21:35:47 CEST 2015


* J. Fahrner <jf at fahrner.name>:
> Am 21.05.2015 um 10:50 schrieb Django [BOfH]:
> > Heyho Patrick,
> >
> > Ich hab in meiner main.cf folgendes stehen:
> > # Django : 2014-10-19 -  EDH Server support
> > #          http://www.postfix.org/FORWARD_SECRECY_README.html
> > #          Definition des 512 bit Schlüssels (export ciphers)
> > #          für die obsoleten „Export“-Ciphers und des 2048-bit
> > #          (non export ciphers) Schlüssels für all die anderen
> > #          EDH Cipher Suits.
> > # default: smtpd_tls_dh512_param_file =
> > #          smtpd_tls_dh1024_param_file =
> > smtpd_tls_dh1024_param_file = /etc/pki/tls/private/dh_2048.pem
> > smtpd_tls_dh512_param_file = /etc/pki/tls/private/dh_512.pem
> >
> > Wann genau lädt der Postfix 2.11. eigentlich diese beiden Dateien?
> > Passiert das nur beim initialen Start des master-daemon oder immer dann
> > wenn eine TLS-Verbindung initiiert wird?
> >
> 
> Folgefrage: Könnte man für dh512 auch den 2048er File nehmen? (um zu
> erzwingen dass immer mit 2048 bit verschlüsselt wird)

Das weiß ich nicht. Es kann klappen. Ich würde aber annehmen, dass der eine
oder andere MTA Probleme damit hat. Der Debian-Alleingang in GnuTLS 2048 Bit
DH einzufordern, obwohl das mit keiner anderen SSL Lib im INET abgestimmt war,
hat ja auch gezeigt zu welchen Problemen das führen kann.

Ich würde mich auf öffentlicher Weitverkehrsstrecke im Zweifel für die
Interoperabilität entscheiden.

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


Mehr Informationen über die Mailingliste postfix-users