ssl_cipher_list für Dovecot schaltet Perfect Forward Secrecy aus

  • Man lese:


    http://www.heise.de/newsticker…chluesselung-2390692.html


    Liveconfig tut dies:

    Code
    5065# cat /etc/dovecot/dovecot.conf |grep ssl_c
    ssl_cipher_list = ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:MEDIUM:!MD5:!aNULL:!EDH!ADH:!SSLv2


    Damit ist PFS aus, weil hinten EDH rausgenommen wird.


    Ergebnis:


    Code
    Sep 12 14:37:40 xxx dovecot: pop3-login: Login: user=<xxx>, method=CRAM-MD5, rip=xxx, lip=xxx, mpid=1295, TLS, TLSv1 with cipher AES256-SHA (256/256 bits)


    Nimmt man !EDH raus


    Code
    ssl_cipher_list = ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:MEDIUM:!MD5:!aNULL:!ADH:!SSLv2


    Ergebnis:


    Ausgabe von OpenSSL:

    Code
    openssl s_client -starttls pop3 -connect localhost:110
    
    
    
    
    SSL-Session:
        Protocol  : TLSv1.2
        Cipher    : DHE-RSA-AES256-GCM-SHA384


    Log:

    Code
    Sep 12 14:47:18 xxx dovecot: pop3-login: Login: user=xxxx, method=PLAIN, rip=xxx, lip=xxx, mpid=2865, TLS, TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)


    Ich kenne mich leider nicht so gut mit PFS aus, aber dass EDH abzuschalten scheint mir ein echter Bug zu sein.


    Viele Grüße


    Andre

  • Liveconfig tut dies:

    Code
    5065# cat /etc/dovecot/dovecot.conf |grep ssl_c
    ssl_cipher_list = ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:MEDIUM:!MD5:!aNULL:!EDH!ADH:!SSLv2


    Seit v1.7.3 verwendet LiveConfig eine andere, deutlich umfangreichere Cipher-Liste (gemäß Mozilla's OpSec-Empfehlungen). Lassen Sie im LiveConfig einfach mal die Dovecot-Konfiguration aktualisieren, dann verwenden Sie automatisch die "neue" Cipher-Liste.


    LiveConfig konfiguriert/erlaubt also durchaus PFS für Dovecot.


    Viele Grüße


    -Klaus Keppler

  • Hallo!


    Wie und wo kann ich die cipher_list anpassen.


    Ich habe jetzt testweise meine eigenen Konten und von ein paar Freunden, auf meinen neuen LiveConfig-Server umgezogen und jetzt gibt es Probleme mit dem Serverzugriff.


    Es hängt mit den Internetsecurity-Produkten zusammen. Sobald ich nämlich hier die Prüfung für POP3/IMAP/SMTP anschalte funktioniert der Zugriff auf die Postfächer nicht mehr (Thunderbird hängt).



    Ich kann meinen Kunden aber nicht vorschreiben, welche Security-Produkte sie verwenden dürfen, und dass sie die Mailüberwachung ausschalten müssen.


    PS: Keine Diskussion über Sinn- oder Unsinn solcher Produkte bitte. Es gibt sie und sie werden genutzt. Also muss es auch mit ihnen funktionieren.

  • Das liegt nicht an LiveConfig oder der CipherSuite meines Erachtens, den verschlüsselten Zugriff können diese Programme in keinem Fall überwachen, egal welcher Mail-Provider da mit welchen Einstellungen genutzt wird.
    Oder hast du hier anderweitige nachvollziehbare Beispiele parat?

  • Also mit T-Online, Google und Web.de klappt es.


    Auch mit den Einstellungen, die ich auf dem "alten" Confixx-Server laufen habe funktioniert es.


    Ich vermute mal, dass die von LiveConfig generierte Konfiguration zu wenig Fallbacks zulässt.

  • Ich gehe davon aus, dass bei den anderen Mailverbindungen im E-Mail-Client (!) eine unverschlüsselte Verbindung eingestellt ist.
    Die "lokalen" Virenscanner klemmen sich zwischen E-Mail-Programm und Mailserver. Der Virenscanner spielt also praktisch "man-in-the-middle".
    Mit der Cipher-Liste hat das mit an Sicherheit grenzender Wahrscheinlichkeit nichts zu tun - der Rechenaufwand um sich "live" in eine Verbindung zu hacken steht da in keinem Verhältnis.


    Die Cipher-Liste steht in der Datei /usr/lib/liveconfig/lua/liveconfig.lua (Variable LC.liveconfig.DEFAULT_SSL_CIPHERS) und kann über eine "custom.lua" modifiziert werden. Ich rate aber DRINGEND davon ab.


    Viele Grüße


    -Klaus Keppler

  • Nein, T-Online lässt nur verschlüsselte Verbindungen zu.


    Das mag schon sein - trotzdem kann die Verbindung zwischen E-Mail-Programm und Virenscanner unverschlüsselt sein. Wie gesagt - der Virenscanner klemmt sich dazwischen (Proxy / "man-in-the-middle").
    Ohne die exakten Einstellungen im Client zu kennen können wir hier ohnehin nur herumspekulieren.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!