[Dovecot-de] SSL Verbindung

Patrick Ben Koetter p at sys4.de
So Aug 25 22:15:18 CEST 2013


* Frank Fiene <dovecot at listen.jpberlin.de>:
> Ja, bei mir genauso.
> 
> Ich denke, die Suche geht immer vom Client aus. Dann kommt bei Apple Mail
> immer ECDHE, dann die ohne PFS und als letztes die alten DHE.

ACK.

Die Suche MUSS (<- RFC-MUSS) immer vom Client ausgehen. Der Server kann nicht
wissen, welche Clients im begegnen werden. Er kann nur anbieten was er für
würdig/geeignet findet.

Wenn dann ein Client kommt, MUSS er die Wahl haben! Er MUSS herausfinden,
welche Schnittmenge aus angebotenen und selbst verfügbaren Ciphers es gibt.
Dann wird er den wählen, der ihm am ehesten geeignet erscheint.

Überlässt man die Wahl den gelinkten Crypto-Libraries, wählen die in der
Regeln die Cipher von der angenommen wird, sie bietet die höchste Sicherheit.
Das dient ja direkt dem Ziel der Crypto-Library - Sicherheit.

Ist das nicht der Fall, hat entweder der Hersteller andere Präferenzen
vorgegeben, z.B. weil er bekannte Interoperabilitätsprobleme umgehen möchte
(gute Version) oder weil er anderen Parteien doch das Aushorchen ermöglichen
will (#prism-Version) oder der Anwender hat durch Konfiguration andere
Vorgaben gemacht.

Ggf. lohnt es sich nach Möglichkeiten zu suchen, wie der Client über
Konfigurationsdateien zur 'richtigen Wahl' bewegt werden kann. Das ergibt IMHO
in der Regel aber nur Sinn wenn man auch ungehinderten Zugriff auf die Clients
hat und über geeignete Tools zum Rollout von Regeln verfügt.

p at rick


> 
> 
> Viele Grüße!
> Frank
> 
> Am 23.08.2013 um 09:25 schrieb Grooz, Marc (regio iT) <Marc.Grooz at regioit.de>:
> 
> > Wenn ich wie von Mike Kuketz beschreiben die Dovecot ssl_cipher_list auf DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!SSLv2:!RC4 einstelle, verbinden sich die Apple Devices mit DHE-RSA-AES128. Leider unterstützt Outlook diesen Cipher nicht. Alle Versuche z.B. RSA-AES-128 an dritter Stelle zu aktivieren führten dazu, dass sowohl Apple Mail als auch Outlook sich mit RSA-AES-128 verbinden.
> > 
> > Ich dachte der Server bietet die Cipher in der Reihenfolge der Konfiguration an und damit müsste vom Client DHE zuerst gewählt werden. Hat einer von euch dafür eine Idee?
> > 
> > Danke Gruß Marc
> > 
> > -----Ursprüngliche Nachricht-----
> > Von: dovecot-bounces at listen.jpberlin.de [mailto:dovecot-bounces at listen.jpberlin.de] Im Auftrag von Grooz, Marc (regio iT)
> > Gesendet: Mittwoch, 21. August 2013 09:29
> > An: Alles rund um Dovecot-Server
> > Betreff: Re: [Dovecot-de] SSL Verbindung
> > 
> > Ja finde ich auch! Vielen Dank.
> > 
> > Gruß Marc
> > 
> > -----Ursprüngliche Nachricht-----
> > Von: dovecot-bounces at listen.jpberlin.de
> > [mailto:dovecot-bounces at listen.jpberlin.de] Im Auftrag von Andreas
> > Gesendet: Dienstag, 20. August 2013 19:54
> > An: dovecot at listen.jpberlin.de
> > Betreff: Re: [Dovecot-de] SSL Verbindung
> > 
> > Am Tue, 20 Aug 2013 17:07:43 +0200
> > schrieb Florian Pritz <bluewind at xinu.at>:
> > 
> >> On 20.08.2013 17:05, Grooz, Marc (regio iT) wrote:
> >>> Hallo Liste,
> >>> 
> >>> kann man sehen mit welcher Verschlüsselung sich ein Client mit
> >>> Dovecot verbunden hat?
> >> 
> >> http://sys4.de/de/blog/2013/08/15/dovecot-tls-perfect-forward-secrecy/
> >> 
> > 
> > Das ist ja ein geiler Artikel! Hab ich gleich umgesetzt und es funktioniert mit claws-mail
> > 
> > Aug 20 19:48:29 imap-login: Info: Login: user=<anmeyer at anup.de>, method=CRAM-MD5, rip=84.179.25.2, lip=213.239.207.165, mpid=29195, TLS,
> > TLSv1 with cipher DHE-RSA-AES128-SHA (128/128 bits)
> > 
> > Aber K-9 mail macht immer noch RC4-MD5, konnte nicht rausfinden, wo ich das ändern könnte.
> > 
> > openssl s_client -starttls imap -connect 78.47.3.19:143 bietet
> > Cipher    : DHE-RSA-AES256-SHA an.
> > 
> > Andreas
> > _______________________________________________
> > Dovecot Mailingliste
> > JPBerlin - Politischer Provider
> > Dovecot at listen.jpberlin.de
> > https://listen.jpberlin.de/mailman/listinfo/dovecot
> > _______________________________________________
> > Dovecot Mailingliste
> > JPBerlin - Politischer Provider
> > Dovecot at listen.jpberlin.de
> > https://listen.jpberlin.de/mailman/listinfo/dovecot
> 



> _______________________________________________
> Dovecot Mailingliste
> JPBerlin - Politischer Provider
> Dovecot at listen.jpberlin.de
> https://listen.jpberlin.de/mailman/listinfo/dovecot


-- 
[*] sys4 AG
 
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


Mehr Informationen über die Mailingliste Dovecot