Synology-Forum.nl

Packages => Officiële Packages => Mail Server => Topic gestart door: Briolet op 20 juli 2018, 14:35:48

Titel: Onveilig cipher suite IDEA-CBC-SHA
Bericht door: Briolet op 20 juli 2018, 14:35:48

Sinds 2017 wordt de cijfer suite "IDEA-CBC-SHA" als onbetrouwbaar beschouwd.  Ik deed gisteren een test met "internet.nl" om mijn mailinstellingen te controleren en daar kwam dit als kwetsbaarheid uit. (In het veld e-mail adres hoef je alleen de hostnaam in te vullen, niet het volledige adres)

In de config file van Postfix kun je deze suite uitsluiten van gebruik. Verander de twee regels ergens op het einde:

Code: [Selecteer]

smtpd_tls_mandatory_exclude_ciphers = aNULL, RC4
smtpd_tls_exclude_ciphers = aNULL, RC4
in

Code: [Selecteer]

smtpd_tls_mandatory_exclude_ciphers = aNULL, RC4, IDEA-CBC-SHA
smtpd_tls_exclude_ciphers = aNULL, RC4, IDEA-CBC-SHA

Vóór de aanpassing vond ik in het log:

"2018-07-18T12:40:13+02:00 GedeeldeData postfix/smtpd[23426]: Anonymous TLS connection established from internet.nl[185.49.141.28]: TLSv1.2 with cipher IDEA-CBC-SHA (128/128 bits)"

Dit was veroorzaakt door de test. Dit was ook de enige keer dat deze suite gebruikt was, dus je kunt die cipher echt wel missen.

De config staat in: /volume1/@appstore/MailServer/etc/main.cf

En herstarten doe je met:

"sudo /var/packages/MailServer/target/scripts/PostfixDaemon.sh restart"

En verander voor de zekerheid ook:
"/volume1/@appstore/MailServer/etc/template/main.template" (Ik denk dat dit de template is, maar ben nog niet 100% zeker)

Na de aanpassing ziet de testsite dit niet meer als onbetrouwbaar.

Titel: Re: Onveilig cipher suite IDEA-CBC-SHA
Bericht door: Briolet op 23 juli 2018, 10:47:40

Ik zat afgelopen weekend in mijn logbestanden te bladeren en vond volgende entries:

Code: [Selecteer]

2017-10-08T11:46:43+02:00 postfix/smtpd[24708]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
2017-10-08T11:46:44+02:00 postfix/smtpd[24708]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
2017-10-08T11:46:44+02:00 postfix/smtpd[24753]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
2017-10-08T11:46:45+02:00 postfix/smtpd[25062]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher DHE-RSA-CAMELLIA256-SHA (256/256 bits)
2017-10-08T11:46:45+02:00 postfix/smtpd[25108]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher CAMELLIA256-SHA (256/256 bits)
2017-10-08T11:46:45+02:00 postfix/smtpd[25148]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher AES256-SHA (256/256 bits)
2017-10-08T11:46:46+02:00 postfix/smtpd[25353]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher ECDHE-RSA-AES128-SHA (128/128 bits)
2017-10-08T11:46:46+02:00 postfix/smtpd[25062]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher DHE-RSA-AES128-SHA (128/128 bits)
2017-10-08T11:46:47+02:00 postfix/smtpd[25725]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher DHE-RSA-SEED-SHA (128/128 bits)
2017-10-08T11:46:47+02:00 postfix/smtpd[24689]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher DHE-RSA-CAMELLIA128-SHA (128/128 bits)
2017-10-08T11:46:47+02:00 postfix/smtpd[25108]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher AES128-SHA (128/128 bits)
2017-10-08T11:46:47+02:00 postfix/smtpd[25462]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher CAMELLIA128-SHA (128/128 bits)
2017-10-08T11:46:47+02:00 postfix/smtpd[24717]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher IDEA-CBC-SHA (128/128 bits)
2017-10-08T11:46:47+02:00 postfix/smtpd[24965]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher SEED-SHA (128/128 bits)
2017-10-08T11:46:48+02:00 postfix/smtpd[25353]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher ECDHE-RSA-DES-CBC3-SHA (112/168 bits)
2017-10-08T11:46:48+02:00 postfix/smtpd[25870]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher EDH-RSA-DES-CBC3-SHA (112/168 bits)
2017-10-08T11:46:48+02:00 postfix/smtpd[24866]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher DES-CBC3-SHA (112/168 bits)

Daar heeft iemand zitten testen welke ciphers de mailserver ondersteunt. Getoond alleen de TLSv1.1 connections, maar hij heeft het ook met TLS.1.0 en TLSv1.2 getest

Als ik op "TLSv1.1" zoek, vind ik niet een serieuze connecie die ook daadwerkelijk mail aflevert. Alle serieuze verbindingen worden met TLSv1.2 opgezet. Er is alleen nog één nieuwsbrief die door megamail.nl afgeleverd wordt en TLSv1.0 gebruikt. Ook één van mijn oudere mac's die nog El Capitan als OS heeft, gebruikt TLSv1.0 om mail te versturen.

In de config file kun je TLS protocollen uitsluiten. Alls SSL protocollen zijn al uitgesloten in de config. TSLv1.0 zal ik toch maar aan laten.