Heiko Zimmermann
SAP-Berater, System Engineer und Entwickler.

Weblog

6 March 2019, 00:04

Heute habe ich meine Server mit QualysGuard VM gescannt. Bei OpenSMTPD ist TLSv1 in der Standardeinstellung möglich, was beim Scan angemahnt wird.

In /etc/mail/smtpd.conf brachte folgende Option gute Ergebnisse:

smtp ciphers "HIGH:!aNULL:!TLSv1:!MD5:!RC4:!GOST89MAC:@STRENGTH"

TLSv1 wurde deaktiviert. MD5 und RC4 habe ich explizit nochmal deaktiviert, um sicher zu gehen. GOST wurde diese Tage kritisch hinterfragt, deshalb habe ich es vorsorglich deaktiviert. @STRENGTH schlägt die sichersten Cipher in absteigender Reihenfolge vor.