[Dovecot-de] SSL Verbindung

Grooz, Marc (regio iT) Marc.Grooz at regioit.de
Mo Aug 26 09:15:27 CEST 2013


Bei Dovecot lässt sich die Reihenfolge der Cipherauswahl nicht einstellen.
Bei Apache nginx etc ist das möglich bei Dovecot leider nicht. Das ist
meiner Meinung nach ein großes Manko weil Dummer Client = schlechte
Verschlüsselung.

Ich habe mir die Version 2.2.5 jetzt selber kompiliert und es auf die ECDHE
eingeschränkt. 

-----Ursprüngliche Nachricht-----
Von: dovecot-bounces at listen.jpberlin.de
[mailto:dovecot-bounces at listen.jpberlin.de] Im Auftrag von Patrick Ben
Koetter
Gesendet: Sonntag, 25. August 2013 22:15
An: dovecot at listen.jpberlin.de
Betreff: Re: [Dovecot-de] SSL Verbindung

* Frank Fiene <dovecot at listen.jpberlin.de>:
> Ja, bei mir genauso.
> 
> Ich denke, die Suche geht immer vom Client aus. Dann kommt bei Apple 
> Mail immer ECDHE, dann die ohne PFS und als letztes die alten DHE.

ACK.

Die Suche MUSS (<- RFC-MUSS) immer vom Client ausgehen. Der Server kann
nicht wissen, welche Clients im begegnen werden. Er kann nur anbieten was er
für würdig/geeignet findet.

Wenn dann ein Client kommt, MUSS er die Wahl haben! Er MUSS herausfinden,
welche Schnittmenge aus angebotenen und selbst verfügbaren Ciphers es gibt.
Dann wird er den wählen, der ihm am ehesten geeignet erscheint.

Überlässt man die Wahl den gelinkten Crypto-Libraries, wählen die in der
Regeln die Cipher von der angenommen wird, sie bietet die höchste
Sicherheit.
Das dient ja direkt dem Ziel der Crypto-Library - Sicherheit.

Ist das nicht der Fall, hat entweder der Hersteller andere Präferenzen
vorgegeben, z.B. weil er bekannte Interoperabilitätsprobleme umgehen möchte
(gute Version) oder weil er anderen Parteien doch das Aushorchen ermöglichen
will (#prism-Version) oder der Anwender hat durch Konfiguration andere
Vorgaben gemacht.

Ggf. lohnt es sich nach Möglichkeiten zu suchen, wie der Client über
Konfigurationsdateien zur 'richtigen Wahl' bewegt werden kann. Das ergibt
IMHO in der Regel aber nur Sinn wenn man auch ungehinderten Zugriff auf die
Clients hat und über geeignete Tools zum Rollout von Regeln verfügt.

p at rick


> 
> 
> Viele Grüße!
> Frank
> 
> Am 23.08.2013 um 09:25 schrieb Grooz, Marc (regio iT)
<Marc.Grooz at regioit.de>:
> 
> > Wenn ich wie von Mike Kuketz beschreiben die Dovecot ssl_cipher_list auf
DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!CB
C:!PSK:!SRP:!DSS:!SSLv2:!RC4 einstelle, verbinden sich die Apple Devices mit
DHE-RSA-AES128. Leider unterstützt Outlook diesen Cipher nicht. Alle
Versuche z.B. RSA-AES-128 an dritter Stelle zu aktivieren führten dazu, dass
sowohl Apple Mail als auch Outlook sich mit RSA-AES-128 verbinden.
> > 
> > Ich dachte der Server bietet die Cipher in der Reihenfolge der
Konfiguration an und damit müsste vom Client DHE zuerst gewählt werden. Hat
einer von euch dafür eine Idee?
> > 
> > Danke Gruß Marc
> > 
> > -----Ursprüngliche Nachricht-----
> > Von: dovecot-bounces at listen.jpberlin.de 
> > [mailto:dovecot-bounces at listen.jpberlin.de] Im Auftrag von Grooz, 
> > Marc (regio iT)
> > Gesendet: Mittwoch, 21. August 2013 09:29
> > An: Alles rund um Dovecot-Server
> > Betreff: Re: [Dovecot-de] SSL Verbindung
> > 
> > Ja finde ich auch! Vielen Dank.
> > 
> > Gruß Marc
> > 
> > -----Ursprüngliche Nachricht-----
> > Von: dovecot-bounces at listen.jpberlin.de
> > [mailto:dovecot-bounces at listen.jpberlin.de] Im Auftrag von Andreas
> > Gesendet: Dienstag, 20. August 2013 19:54
> > An: dovecot at listen.jpberlin.de
> > Betreff: Re: [Dovecot-de] SSL Verbindung
> > 
> > Am Tue, 20 Aug 2013 17:07:43 +0200
> > schrieb Florian Pritz <bluewind at xinu.at>:
> > 
> >> On 20.08.2013 17:05, Grooz, Marc (regio iT) wrote:
> >>> Hallo Liste,
> >>> 
> >>> kann man sehen mit welcher Verschlüsselung sich ein Client mit 
> >>> Dovecot verbunden hat?
> >> 
> >> http://sys4.de/de/blog/2013/08/15/dovecot-tls-perfect-forward-secre
> >> cy/
> >> 
> > 
> > Das ist ja ein geiler Artikel! Hab ich gleich umgesetzt und es 
> > funktioniert mit claws-mail
> > 
> > Aug 20 19:48:29 imap-login: Info: Login: user=<anmeyer at anup.de>, 
> > method=CRAM-MD5, rip=84.179.25.2, lip=213.239.207.165, mpid=29195, 
> > TLS,
> > TLSv1 with cipher DHE-RSA-AES128-SHA (128/128 bits)
> > 
> > Aber K-9 mail macht immer noch RC4-MD5, konnte nicht rausfinden, wo ich
das ändern könnte.
> > 
> > openssl s_client -starttls imap -connect 78.47.3.19:143 bietet
> > Cipher    : DHE-RSA-AES256-SHA an.
> > 
> > Andreas
> > _______________________________________________
> > Dovecot Mailingliste
> > JPBerlin - Politischer Provider
> > Dovecot at listen.jpberlin.de
> > https://listen.jpberlin.de/mailman/listinfo/dovecot
> > _______________________________________________
> > Dovecot Mailingliste
> > JPBerlin - Politischer Provider
> > Dovecot at listen.jpberlin.de
> > https://listen.jpberlin.de/mailman/listinfo/dovecot
> 



> _______________________________________________
> Dovecot Mailingliste
> JPBerlin - Politischer Provider
> Dovecot at listen.jpberlin.de
> https://listen.jpberlin.de/mailman/listinfo/dovecot


--
[*] sys4 AG
 
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 
_______________________________________________
Dovecot Mailingliste
JPBerlin - Politischer Provider
Dovecot at listen.jpberlin.de
https://listen.jpberlin.de/mailman/listinfo/dovecot
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 6529 bytes
Beschreibung: nicht verfügbar
URL         : <https://listen.jpberlin.de/pipermail/dovecot/attachments/20130826/555f1c6c/attachment.p7s>


Mehr Informationen über die Mailingliste Dovecot