TLSv1 abschalten (was: SSL_accept error from 213-225-38-118.nat.highway.a1.net[213.225.38.118]: -1 - Nachtrag)

Markus Winkler ml at irmawi.de
Mi Okt 27 22:59:16 CEST 2021 

On 27.10.21 11:14, Markus Schönhaber wrote:
> Am 27.10.21 um 10:03 schrieb Markus Winkler:
> 
>> BTW: Zumindest TLSv1 würde ich heutzutage abschalten. ;-)
> 
> Warum?

Ein Grund:

https://tools.ietf.org/html/rfc8996

    TLS version 1.2 became the recommended version for IETF protocols in
    2008 (subsequently being obsoleted by TLS version 1.3 in 2018),
    providing sufficient time to transition away from older versions.
    Removing support for older versions from implementations reduces the
    attack surface, reduces opportunity for misconfiguration, and
    streamlines library and product maintenance.

> Aber auf dem MX zwingt das ältere Clients, die maximal TLSv1 
> beherrschen, dazu, ganz unverschlüsselt zu senden. Ich sehe da keinen 
> Sicherheitsgewinn.

Es geht mir ein Stück weit ums Prinzip. Ein Client, der am Ende des Jahres 
2021 Software einsetzt, die gerade mal TLSv1 beherrscht, hat m. E. keine 
angeblich auf dem Transportweg "verschlüsselten" Mails mehr zu versenden. 
Dort ist der Betreiber des Systems in der Pflicht. Und ich behaupte mal, 
dass TLSv1 nur eines von vielen Problemen auf Systemen dieser Art sein 
dürfte ... Wenn dort nicht Druck aufgebaut wird, ändert sich da nie was. ;-)

Außerdem sind in Bereichen, wo z. B. DSGVO-relevante Daten übertragen 
werden ist, diese alten Protokollversionen ohnehin nicht mehr einsetzbar.

Obendrein sollte man wirklich, wie Walter schon schrieb, langsam darüber 
nachdenken, unverschlüsselte Mails zu blocken. Zumindest in Umgebungen, wo 
man sich das leisten kann. In 99,9 % der Fälle wären die nicht mehr 
ankommenden Mails solche, die man eh nicht will ... Außerdem würde ein 
regulärer Absender aus den 0,1 % ja darüber informiert und könnte seinem 
Provider mal auf die Füße treten. ;-)

Aber um nicht falsch verstanden zu werden: Ich bin mir der generellen 
Problematik, was man noch toleriert und was nicht, durchaus bewusst und 
finde Postels "Be liberal in what you accept and conservative in what you 
send" immer noch gut. Trotzdem bleibt die Welt nicht stehen, und irgendwann 
muss man alte Zöpfe auch einfach mal abschneiden - _IMHO_. Und deswegen 
schrieb ich ja oben auch, dass _ich_ das heutzutage abschalten würde (und 
das auch mache). ;-)

Viele Grüße
Markus

Mehr Informationen über die Mailingliste postfix-users