Dirk Griesbach <spamthis@freenet.de> (Fr 24 Jul 2015 07:55:04 CEST):
> Am Do, 23. Jul 2015 um 23:00:40 +0200 schrieb Heiko Schlittermann:
> > wheezy + Exim 4.86 RC5 (Eigenbau): SSLv3 geht
> > jessie + Exim 4.84 Debian: SSLv3 geht NICHT
>
> > Aber welchen Sinn soll das haben? Im vorliegenden Fall führt das dazu,
…
>
> Dieses 'etwas Schutz' für diesen einen veralteten Client erkaufst du dir
> mit potentieller Angreifbarkeit aller Verbindungen aller anderer
> Server/Clients, selbst wenn die besseres als SSLv3 können.
Das habe ich im zitierten RFC nicht so gelesen.
> kaputt, dass dessen Einsatz in RFC7568[1] verboten wurde ("[…] SSLv3
> MUST NOT be used. Negotiation of SSLv3 from any version of TLS MUST NOT
> be permitted. […]"). Gründe dafür stehen in der RFC.
Verboten werden sollte. RFC7568 ist „proposed standard“. ;)
Interessanterweise verwenden folgende Hosts SSLv3 bei unseren
eingehenden Verbindungen:
2582 H=svng501mr3.pzd-svn.de
2143 H=svng501mr2.pzd-svn.de
2034 H=svng501mr1.pzd-svn.de
… die anderen dann unter „ferner liefen“
220 H=mail.cip-la.de
...
Whois auf pzd-svn.de
[Tech-C]
Type: PERSON
Name: Admin SVN
Organisation: T-Systems Enterprise Services GmbH
…
Also alles klar… Sind das die, die uns auch D-Mail verkaufen wollen?
Gut, nicht ganz genau die, aber der selbe Konzern ist das doch wohl, oder?
Dann mal Gute Nacht.
> Oder um es überspitzt zu sagen: Ob dein Client mit SSLv3 oder im
> Klartext überträgt, spielt keine Rolle. Allerdings ist Letzteres einfach
> ehrlicher und hilft, die Umwelt zu schonen.
Ich stimme zu, es ist ehrlicher, da man möglicherweise das Problem dort
bemerkt, wo ohne TLS halt nun gar keine Verbindung aufgebaut werden kann
(HTTPS z.B.) und sich der Sache sofort annehmen wird. Im vorliegenden
Fall hätte es geholfen gegen versehentliches Mitlauschen per tcpdump.
tls_require_ciphers = NORMAL:+VERS-SSL3.0
täte es dann. Natürlich sollte man bedenken, dass das jetzt für *alle*
eingehenden Verbindungen gilt, auch für die, die sich authentifizieren,
also besser wäre sowas wie
tls_require_ciphers = ${if =={$received_port}{25}\
{NORMAL:+VERS-SSL3.0}\
{NORMAL}}
oder so ähnlich. (Ich unterstelle, dass SMTP AUTH mit TLS *nicht* auf
Port 25 stattfindet.)
Aber danke für's Mitlesen. Und ich werde das SSLv3 auch ausschalten,
vielleicht merkt es ja dann auch die andere Seite irgendwann. Aber wenn
ich mir den oben zitierten WHOIS-Record ansehe, habe ich da eher keine
Hoffnung. Aber vielleicht verkaufen die das mal wieder mit großem
Marketing-Getöse, wenn sie auf neuere TLS-Versionen umstellen.
Best regards from Dresden/Germany
Viele Grüße aus Dresden
Heiko Schlittermann
--
SCHLITTERMANN.de ---------------------------- internet & unix support -
Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
gnupg encrypted messages are welcome --------------- key ID: F69376CE -
! key id 7CBF764A and 972EAC9F are revoked since 2015-01 ------------ -
Attachment:
signature.asc
Description: Digital signature