Update OpenSSL
apt-get update apt-get install --only-upgrade libssl1.0.0 openssl
Möglicherweise muss auch OpenSSL aktualisiert werden
siehe dazu Update OpenSSL
HTTP – Apache – /etc/apache2/mods-enabled/ssl.conf
SSLProtocol All -SSLv2 -SSLv3 SSLCipherSuite EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256 SSLHonorCipherOrder on
Postfix – /etc/postfix/main.cf
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_protocols = !SSLv2, !SSLv3 smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 smtp_tls_protocols = !SSLv2, !SSLv3 smtpd_tls_mandatory_ciphers = high tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA smtpd_tls_eecdh_grade = ultra
und zusätzlich wahlweise noch
lmtp_tls_protocols = !SSLv2, !SSLv3
tlsproxy_tls_protocols = $smtpd_tls_protocols
lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3
tlsproxy_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols
smtpd_tls_ciphers = medium
smtp_tls_ciphers = medium
smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem
smtpd_tls_eecdh_grade = strong
smtp_tls_exclude_ciphers = EXPORT, LOW, MD5, aDSS, kECDHe, kECDHr, kDHd, kDHr, SEED, IDEA, RC2
smtpd_tls_exclude_ciphers = EXPORT, LOW, MD5, SEED, IDEA, RC2
smtpd_sasl_security_options = noanonymous
Anmerkung: „noplaintext“ bei smtpd_sasl_security_options“ kann zu Problemen beim Versand von Plaintext Emails führen diese werden nicht versendet.
Weiterhin muss der SASL Daemon laufen (/etc/init.d/saslauthd start)
Dovecot – /etc/dovecot/dovecot.conf
ssl_protocols = !SSLv2 !SSLv3
Dovecot – /etc/dovecot/conf.d/10-ssl.conf
ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL
Webmin
Webmin -> Webmin-Konfiguration -> SSL Verschlüsselung
„Erlaubt SSL-Verschlüsselungen“ -> „Nur starke PCI-konforme Schlüssel“
saslauthd
/etc/init.d/saslauthd restart
Weitere Doku:
Um diesen Inhalt zu sehen, musst du erst die Cookies akzeptieren.
Testen kann man hier:
https://www.ssllabs.com
https://pentest-tools.com/network-vulnerability-scanning/drown-ssl-scanner
Für den Fall, dass aus Usermin nicht mehr Emails gesendet werden können:
failed : 530 5.7.0 Must issue a STARTTLS command first
Lösung: /etc/postfix/main.cf
smtpd_tls_security_level = encrypt
zu
smtpd_tls_security_level = may
ändern und postfix neu starten
Schreibe einen Kommentar