Три вопроса:
- Поправьте меня, если я ошибаюсь:
smtpd_tls_mandatory_ciphers=> настройки для входящего обязательного шифрования TLS
smtpd_tls_ciphers=> настройки для входящего оппортунистического шифрования TLS
smtp_tls_mandatory_ciphers=> настройки для исходящего обязательного шифрования TLS
smtp_tls_ciphers=> настройки для исходящего оппортунистического шифрования TLS - Если я установлю
smtpd_tls_security_levelи ,smtp_tls_security_levelтоmayбудут актуальны только гибкие настройки. То есть не имеет значения, что я установил в обязательных настройках? Если я хочу создать безопасный, но все же общедоступный почтовый сервер, подойдет ли следующая конфигурация (в отношении используемой криптографии)? Я не совсем уверен, сколько серверов в настоящее время поддерживают TLS или какие уровни безопасности в целом, но я все равно хочу иметь возможность общаться с большинством из них.
smtpd_tls_mandatory_ciphers = high smtp_tls_mandatory_ciphers = high smtpd_tls_ciphers = high smtp_tls_ciphers = high smtp_tls_security_level = may smtpd_tls_security_level = may smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_protocols = !SSLv2, !SSLv3 smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtp_tls_exclude_ciphers = aNULL, DES, RC4, MD5 smtpd_tls_exclude_ciphers = aNULL, DES, RC4, MD5 #hope this is enough since it is also added to the mandatory exclusions smtp_tls_exclude_ciphers = aNULL, DES, RC4, MD5 smtpd_tls_exclude_ciphers = aNULL, DES, RC4, MD5
Фон:Это для компании, ориентированной на безопасность, с довольно высокими стандартами безопасности.НОЯ также не хочу, чтобы при такой конфигурации терялись какие-либо электронные письма.
P.S.:Я прочитал объяснение дляпараметры конфигурациии именно оттуда я черпаю большую часть своих знаний.
решение1
- Касательно
smtp[d]_tls_[mandatory_]ciphers
Да.
- Если я установлю
smtpd_tls_security_levelиsmtp_tls_security_levelзначение , то будут актуальны только гибкие настройки. То есть не имеет значения, что я установил в обязательных настройках?
Да.
- Если я хочу создать безопасный, но при этом общедоступный почтовый сервер, подойдет ли следующая конфигурация (в отношении используемой криптографии)?
Вы отключаете SSL и ограничиваете шифры, но незашифрованный трафик все еще разрешен. Я считаю, что плохое шифрование лучше, чем его отсутствие, для связи с другими почтовыми серверами.
Чтобы процитировать статьюПрикладное криптографическое усиление (ACH)кBettercrypto:
Postfix имеет пять внутренних списков шифров и возможность переключения между ними с помощью
smtpd_tls_ciphers. Однако мы оставляем это значение по умолчанию для соединений сервер-сервер, так как многие почтовые серверы поддерживают только устаревшие протоколы и шифры. Мы считаем, что плохое шифрование все равно лучше, чем передача обычного текста. Для соединений с MUA TLS является обязательным, а набор шифров изменяется.
Для подключений к почтовым клиентам очень полезно ограничить шифры и протоколы, а также отдать предпочтение надежным.
Конфигурация клиентов MX и SMTP: Как обсуждалось в разделе 2.3.1, из-за оппортунистического шифрования мы не ограничиваем список шифров или протоколов для связи с другими почтовыми серверами, чтобы избежать передачи в виде открытого текста.
Рекомендуемая конфигурация следующая:
# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
# use 0 for Postfix >= 2.9, and 1 for earlier versions
smtpd_tls_loglevel = 0
# enable opportunistic TLS support in the SMTP server and client
smtpd_tls_security_level = may
smtp_tls_security_level = may
smtp_tls_loglevel = 1
# if you have authentication enabled, only offer it after STARTTLS
smtpd_tls_auth_only = yes
tls_ssl_options = NO_COMPRESSION
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers=high
tls_high_cipherlist=EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
smtpd_tls_eecdh_grade=ultra
И это для master.cf:
submission inet n - - - - smtpd
-o smtpd_tls_security_level=encrypt
-o tls_preempt_cipherlist=yes
При заданном наборе шифров сервер предпочитает лучшие доступные шифры, а также Perfect Secrecy, если возможно, и также поддерживает всех соответствующих клиентов, не допуская плохих шифров. Для получения более подробной информации см. связанную статью, в ней дается очень подробная информация о рекомендациях, включая теорию. Объяснения для раздела постфикса, приведенного выше, предоставлены мной (и проверены многими другими).