Einleitung:
Nachdem ich von OpenVAS einen Bericht erhalten hatte, dass meine SSL-Sicherheitsstufe des Mailservers mittel sei, suchte ich nach Möglichkeiten, dies zu verbessern.
Ich fand sehr gute Seiten, die mir bei diesen Verbesserungen helfen:
https:/ /weakdh.org/sysadmin.html
https://wiki.dovecot.org/SSL/DovecotConfiguration
Klicken Sie hier, um auf die Datei „applied-crypto-hardening.pdf“ zuzugreifen
Basierend auf dieser Seite und erweitert um den Dovecot-Postdienst ist hier das Ergebnis:
Apache härten:
In /etc/apache2/mods-available/ssl.conf
Ändern Sie die folgenden Parameter wie folgt:SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DH+3DES:!RSA+3DES
SSLHonorCipherOrder on
Härtung des Taubenschlags:
Hinweis:Sie sollten openssl>=1.0.0 haben, dovecot>=2.1.x erforderlich, besser dovecot>=2.2.x wegen der ECDHE-Unterstützung Dovecot versucht, PFS standardmäßig zu verwenden, sodass neben dem aktivierten SSL fast keine Aktionen erforderlich sind, um das zu ändern log-Einstellungen, um die Chiffre zu sehen, suchen Sie nach login_log_format_elements in dovecot configs und fügen Sie %k hinzu
zB:login_log_format_elements = "user=< %u> method=%m rip=%r lip=%l mpid=%e %c %k"
Konfigurieren Sie die zulässigen Chiffren. Die serverseitige Erzwingung funktioniert nur für dovecot>=2.2.6
In /etc/dovecot/conf.d/ssl.conf
Ändern Sie einige Parameter wie folgt:ssl_cipher_list = EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4
#only for dovecot >=2.2.6, enforce the server cipher preference
ssl_prefer_server_ciphers = yes
#disable SSLv2 and SSLv3
ssl_protocols = !SSLv2 !SSLv3
Fügen Sie den folgenden Parameter hinzu:ssl_dh_parameters_length = 2048
Löschen Sie die Datei /var/lib/dovecot/ssl-parameters.dat
und starten Sie den Dovecot-Dienst neu:service dovecot restart
Dovecote sieht, dass die Parameter von Diffie Hellman mit einer Länge von 2048 Bits zugewiesen sind und dass seine Datei gerade gelöscht wurde, und erzeugt im Hintergrund eine neue.
Härtung von Postfix
In /etc/postfix/main.cf
Ändern oder fügen Sie die folgenden Konfigurationsparameter hinzu:smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers=high
tls_high_cipherlist=EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CBC3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_dh1024_param_file=/etc/ssl/dh2048.pem
Generieren Sie eine neue Diffie-Hellman-Parameterdatei wie folgt:openssl dhparam -out /etc/ssl/dh2048.pem 2048