alte Mail-Clients und neue Server (SSLv3?)

Jonny Oschätzky jonny at nubecula.net
Mi Nov 25 18:52:02 CET 2020


Hallo Frank,

deine Postfix-TLS-Konfiguration sieht recht solide aus, der Log-Eintrag 
stammt aber von Dovecot, so dass ich da keinen direkten Zusammenhang 
herstellen kann.

Ich würde am Mailserver bei der Verbindungssicherheit keine faulen 
Kompromisse machen, weil davon auch die Kunden mit aktuellen Clients 
beeinträchtigt werden könnten und das würde ich nicht wollen. Radikal 
alte Systeme rauszuwerfen halte ich allerdings ebenfalls nicht für 
ideal, denn wer will schon Kunden verlieren?

Wenn es also möglich ist, nutze Option drei und richte für die 
Altsysteme einen anderen Server ein, der auch noch schwächere Ciphers 
oder gar SSLv3 *grusel* spricht. Eventuell kannst du einfach stunnel 
oder nginx als Reverse-Proxy verwenden, der dann die Verbindung zum 
Mailserver beispielsweise mit TLSv1.2 und ECDHE aufbaut.
Das hat den Vorteil, dass die Verbindungen der Kunden mit aktuellen 
Clients auch nach aktuellen Sicherheitsstandards geschützt sind. Nur die 
Verbindungen von antiken Systemen können eventuell kompromittiert 
werden, aber diese Kunden interessieren sich ja sowieso nicht dafür, 
sonst würden sie diese Systeme nicht mehr ans Internet lassen. ;-)

Exchange 2010 kann übrigens TLSv1.2 und ECDHE-Ciphers, wenn man das 
Betriebssystem auf den aktuellen Patchlevel bringt und das Ganze dann in 
der Registry aktiviert. Bei Microsoft gibt es Hinweise dazu - das aber 
nur am Rande.

Grüße,
Jonny


Mehr Informationen über die Mailingliste postfix-users