alte Mail-Clients und neue Server (SSLv3?)
Jonny Oschätzky
jonny at nubecula.net
Mi Nov 25 18:52:02 CET 2020
Hallo Frank,
deine Postfix-TLS-Konfiguration sieht recht solide aus, der Log-Eintrag
stammt aber von Dovecot, so dass ich da keinen direkten Zusammenhang
herstellen kann.
Ich würde am Mailserver bei der Verbindungssicherheit keine faulen
Kompromisse machen, weil davon auch die Kunden mit aktuellen Clients
beeinträchtigt werden könnten und das würde ich nicht wollen. Radikal
alte Systeme rauszuwerfen halte ich allerdings ebenfalls nicht für
ideal, denn wer will schon Kunden verlieren?
Wenn es also möglich ist, nutze Option drei und richte für die
Altsysteme einen anderen Server ein, der auch noch schwächere Ciphers
oder gar SSLv3 *grusel* spricht. Eventuell kannst du einfach stunnel
oder nginx als Reverse-Proxy verwenden, der dann die Verbindung zum
Mailserver beispielsweise mit TLSv1.2 und ECDHE aufbaut.
Das hat den Vorteil, dass die Verbindungen der Kunden mit aktuellen
Clients auch nach aktuellen Sicherheitsstandards geschützt sind. Nur die
Verbindungen von antiken Systemen können eventuell kompromittiert
werden, aber diese Kunden interessieren sich ja sowieso nicht dafür,
sonst würden sie diese Systeme nicht mehr ans Internet lassen. ;-)
Exchange 2010 kann übrigens TLSv1.2 und ECDHE-Ciphers, wenn man das
Betriebssystem auf den aktuellen Patchlevel bringt und das Ganze dann in
der Registry aktiviert. Bei Microsoft gibt es Hinweise dazu - das aber
nur am Rande.
Grüße,
Jonny
Mehr Informationen über die Mailingliste postfix-users