服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何在Postfix 2.11中强制自己的一组密码?
Intereting Posts
被黑客攻击的Centos 6服务器 – 正在生成的文件 如何打开sendmail接收端口 IIS 7.5 – 禁用在web.config更新时不遵守重叠的回收属性 IIS – redirect多个主机名的最有效的方法 如何使用PXE服务器启动Hyper-V虚拟机 LocalGPO比较失败,错误 如何去HTTPS 告诉runit马上拿起新的服务 服务器难以托pipe30 000个网站+ 30000个数据库,每天有3个用户? IIS 7 URL重写:不适用于redirecturl的C:1反向引用 如何configurationmodprobe来识别启动时新安装的eth1驱动程序? 以给定的时间间隔(无cron)执行命令+将输出redirect到类似咆哮的通知 PowerEdge 2900.要用作SAS擦除服务器,并跳过每个驱动器的RAIDconfiguration。 可能? SQL2000和SQL2008上的全文search有什么重大区别? 监视Java垃圾收集器和内存状态

如何在Postfix 2.11中强制自己的一组密码?

我想强制一套自己的TLS密码套件,而不是使用内置的Postfix。

我期望的一组密码是(取自nginxconfiguration): 

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

不幸的是,我找不到一个引用来覆盖密码套件。 我发现这是可能的,但不是如何。

如何看起来像smtpsmtpd等效的Postfixconfiguration?

使用Debian / 7,Postfix / 2.11.2,OpenSSL / 1.0.1e

来自应用encryption hardened by bettercrypto.org : 

 smtpd_tls_security_level = may smtp_tls_security_level = may smtp_tls_loglevel = 1 # if you have authentication enabled, only offer it after STARTTLS smtpd_tls_auth_only = yes tls_ssl_options = NO_COMPRESSION smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_mandatory_ciphers=high tls_high_cipherlist=EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA

你可以在这里插入你自己的密码套件,但我不build议这样做。 由bettercrypto项目select的密码串已被广泛testing,并提供尽可能多的兼容性,同时提供尽可能多的安全性。 所有密码的顺序是非常重要的,所以服务器和客户端正在协商最好的密码,最好是正向保密,这是真的。

对于master.cf您可能只想将提交端口configuration为TLS: 

 submission inet n - - - - smtpd -o smtpd_tls_security_level=encrypt -o tls_preempt_cipherlist=yes

但是,这并不允许使用过时的密码来保证安全级别,根据请求#97 ,你可以这样做: 

 smtpd_tls_protocols=!SSLv2,!SSLv3 smtp_tls_protocols=!SSLv2,!SSLv3

但这并没有被合并,原因如下:

我要closures这个,SSLv3在这里是有意义的,因为它比好的纯文本更好。

man postconf说:“强烈build议你不要改变这个设置。”

不过,你可以像这样: 

 smtp_tls_security_level = encrypt smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 smtp_tls_mandatory_ciphers=high smtpd_tls_security_level = encrypt smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_mandatory_ciphers=high tls_high_cipherlist=ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

我假设这是实验性的,你不担心大多数MTA的邮件stream。 检查后缀日志中的“握手失败”。 我build议首先使用smtp_输出进行testing,以便可以看到队列中的内容,并且任何本地nginx生成的SMTP会话都不应该失败。

这是有据可查的。 从http://www.postfix.org/TLS_README.html#server_cipher 

 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5