Auteur Topic: Onveilig cipher suite IDEA-CBC-SHA (gelezen 1545 keer)

Briolet · « **Gepost op:** 20 juli 2018, 14:35:48 »

Sinds 2017 wordt de cijfer suite "IDEA-CBC-SHA" als onbetrouwbaar beschouwd. Ik deed gisteren een test met "internet.nl" om mijn mailinstellingen te controleren en daar kwam dit als kwetsbaarheid uit. (In het veld e-mail adres hoef je alleen de hostnaam in te vullen, niet het volledige adres)

In de config file van Postfix kun je deze suite uitsluiten van gebruik. Verander de twee regels ergens op het einde:

Code: [Selecteer]

smtpd_tls_mandatory_exclude_ciphers = aNULL, RC4
smtpd_tls_exclude_ciphers = aNULL, RC4

in

Code: [Selecteer]

smtpd_tls_mandatory_exclude_ciphers = aNULL, RC4, IDEA-CBC-SHA
smtpd_tls_exclude_ciphers = aNULL, RC4, IDEA-CBC-SHA

Vóór de aanpassing vond ik in het log:

"2018-07-18T12:40:13+02:00 GedeeldeData postfix/smtpd[23426]: Anonymous TLS connection established from internet.nl[185.49.141.28]: TLSv1.2 with cipher IDEA-CBC-SHA (128/128 bits)"

Dit was veroorzaakt door de test. Dit was ook de enige keer dat deze suite gebruikt was, dus je kunt die cipher echt wel missen.

De config staat in: /volume1/@appstore/MailServer/etc/main.cf

En herstarten doe je met:

"sudo /var/packages/MailServer/target/scripts/PostfixDaemon.sh restart"

En verander voor de zekerheid ook:
"/volume1/@appstore/MailServer/etc/template/main.template" (Ik denk dat dit de template is, maar ben nog niet 100% zeker)

Na de aanpassing ziet de testsite dit niet meer als onbetrouwbaar.

Briolet · « **Reactie #1 Gepost op:** 23 juli 2018, 10:47:40 »

Ik zat afgelopen weekend in mijn logbestanden te bladeren en vond volgende entries:

Code: [Selecteer]

2017-10-08T11:46:43+02:00 postfix/smtpd[24708]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
2017-10-08T11:46:44+02:00 postfix/smtpd[24708]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
2017-10-08T11:46:44+02:00 postfix/smtpd[24753]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
2017-10-08T11:46:45+02:00 postfix/smtpd[25062]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher DHE-RSA-CAMELLIA256-SHA (256/256 bits)
2017-10-08T11:46:45+02:00 postfix/smtpd[25108]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher CAMELLIA256-SHA (256/256 bits)
2017-10-08T11:46:45+02:00 postfix/smtpd[25148]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher AES256-SHA (256/256 bits)
2017-10-08T11:46:46+02:00 postfix/smtpd[25353]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher ECDHE-RSA-AES128-SHA (128/128 bits)
2017-10-08T11:46:46+02:00 postfix/smtpd[25062]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher DHE-RSA-AES128-SHA (128/128 bits)
2017-10-08T11:46:47+02:00 postfix/smtpd[25725]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher DHE-RSA-SEED-SHA (128/128 bits)
2017-10-08T11:46:47+02:00 postfix/smtpd[24689]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher DHE-RSA-CAMELLIA128-SHA (128/128 bits)
2017-10-08T11:46:47+02:00 postfix/smtpd[25108]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher AES128-SHA (128/128 bits)
2017-10-08T11:46:47+02:00 postfix/smtpd[25462]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher CAMELLIA128-SHA (128/128 bits)
2017-10-08T11:46:47+02:00 postfix/smtpd[24717]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher IDEA-CBC-SHA (128/128 bits)
2017-10-08T11:46:47+02:00 postfix/smtpd[24965]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher SEED-SHA (128/128 bits)
2017-10-08T11:46:48+02:00 postfix/smtpd[25353]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher ECDHE-RSA-DES-CBC3-SHA (112/168 bits)
2017-10-08T11:46:48+02:00 postfix/smtpd[25870]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher EDH-RSA-DES-CBC3-SHA (112/168 bits)
2017-10-08T11:46:48+02:00 postfix/smtpd[24866]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher DES-CBC3-SHA (112/168 bits)

Daar heeft iemand zitten testen welke ciphers de mailserver ondersteunt. Getoond alleen de TLSv1.1 connections, maar hij heeft het ook met TLS.1.0 en TLSv1.2 getest

Als ik op "TLSv1.1" zoek, vind ik niet een serieuze connecie die ook daadwerkelijk mail aflevert. Alle serieuze verbindingen worden met TLSv1.2 opgezet. Er is alleen nog één nieuwsbrief die door megamail.nl afgeleverd wordt en TLSv1.0 gebruikt. Ook één van mijn oudere mac's die nog El Capitan als OS heeft, gebruikt TLSv1.0 om mail te versturen.

In de config file kun je TLS protocollen uitsluiten. Alls SSL protocollen zijn al uitgesloten in de config. TSLv1.0 zal ik toch maar aan laten.

D-Link IP Cameras onveilig Gestart door BrioletBoard Surveillance Station	Reacties: 2 Gelezen: 2683	01 mei 2013, 17:31:29 door Briolet
Let's encrypt certificaat onveilig Gestart door SylvesterBoard Synology DSM algemeen	Reacties: 5 Gelezen: 2544	03 december 2018, 13:15:33 door Briolet
Firefox 51 geeft een http inlog als onveilig aan. Gestart door BrioletBoard The lounge	Reacties: 5 Gelezen: 2221	31 maart 2018, 21:50:40 door Briolet
certificaat onveilig Gestart door zjwaemkeBoard Synology DSM 5.1 en eerder	Reacties: 4 Gelezen: 1996	24 september 2014, 21:50:29 door Birdy
SSL certificaat nog steeds als onveilig weergegeven Gestart door stefrBoard Synology DSM 6.0	Reacties: 14 Gelezen: 6483	25 februari 2017, 12:58:40 door Babylonia

Auteur Topic: Onveilig cipher suite IDEA-CBC-SHA (gelezen 1545 keer)

Briolet

Onveilig cipher suite IDEA-CBC-SHA

Briolet

Re: Onveilig cipher suite IDEA-CBC-SHA

Vergelijkbare onderwerpen (5)