Update seit SE 0.379

  • Hallo,


    wie kann ich verhindern, dass folgende Konfiguration bei jedem SE-Update überschrieben wird?

  • Auch wenn dieser Thread schon etwas länger zurück liegt, dachte ich Teile ich kurz mein Wissen :)


    Änderungen müssen unter /usr/local/pd-admin2/dovecot-2.2/etc/dovecot.tmpl/ vorgenommen werden. Dann bleiben diese auch nach einem SE Update bestehen ;)

  • OK …


    Angenommen, man fügt in der Datei /usr/local/pd-admin2/dovecot-2.2/etc/dovecot.tmpl/conf.d/10-ssl.conf folgendes am Ende ein:

    Code
    ssl = required
    ssl_key = </usr/local/pd-admin2/share/imapd.pem
    ssl_cert = </usr/local/pd-admin2/share/imapd.pem
    ssl_ca = </usr/local/pd-admin2/share/imapd.cacert
    ssl_protocols = !SSLv3 !TLSv1 !TLSv1.1
    ssl_cipher_list = TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-RSA-AES256-GCM-SHA384
    ssl_prefer_server_ciphers = yes
    ssl_dh_parameters_length = 4096
    disable_plaintext_auth = yes

    wie kann verhindert werden, dass pd-admin zusätzlich folgendes hinzufügt …

    Code
    ssl = yes
    ssl_key = </usr/local/pd-admin2/share/imapd.pem
    ssl_cert = </usr/local/pd-admin2/share/imapd.pem
    ssl_dh_parameters_length = 2048
    ssl_ca = </usr/local/pd-admin2/share/imapd.cacert


    2 Einstellungen werden dadurch überschrieben …

  • Im Grunde betrifft es ja nur die Parameter "ssl" und "ssl_dh_parameters_length". Die anderen Parameter sind ja identisch.


    Einen größeren Wert bei ssl_dh_parameters_length muss man nicht setzen, wenn man keine DHE cipher suits konfiguriert. Ein Wert von 4096bit verzögert den (Neu)Start von dovecot und macht es nicht unbedingt sicherer. Eine höhere Sicherheit erreicht man durch die Nutzung von ECDHE cipher suits.

    Auch Mozilla schlägt bei intermediate Einstellungen nur 2048bit vor. Bei moderben Einstellungen entfällt dies, da nicht mehr relevant: https://wiki.mozilla.org/Security/Server_Side_TLS

    Mozilla SSL Configuration Generator

  • apropos modern und Dovecot 2.2 …

    # unfortunately, Dovecot 2.2 and OpenSSL 3.0 does not support the modern configuration

    Ich habe noch nicht herausgefunden wo es da eine Inkompatibilität gibt. Denn stand jetzt ist, dass die Serverumgebung mit Dovecot 2.2 und OpenSSL 3.0 ausgeliefert wird. Und es funktioniert. Es kann auch TLS 1.3 verwendet werden.


    sorry beim Kopieren ist

    Code
    ssl_dh=</etc/ssl/certs/dh_params4096.pem

    leider auf der Strecke geblieben ?(

    Wenn ich die Dovecot Doku richtig lese unterstützt Doveecot 2.2 "ssl_dh" nicht. Wirft das keinen Fehler oder Warnung aus?

  • Ich habe noch nicht herausgefunden wo es da eine Inkompatibilität gibt. Denn stand jetzt ist, dass die Serverumgebung mit Dovecot 2.2 und OpenSSL 3.0 ausgeliefert wird. Und es funktioniert. Es kann auch TLS 1.3 verwendet werden.

    In der Konfigurationsdatei kann TLSv1.3 nicht angegeben werden, um nur TLSv1.3 zu akzeptieren

    Code
    ssl_protocols = TLSv1.3    -> Fatal: Unknown ssl_protocols setting: Unrecognized protocol 'TLSv1.3'
    ssl_min_protocol = TLSv1.3 -> deferral: doveconf:_Fatal:_Error_in_configuration_file_/usr/local/pd-admin2/dovecot-2.2/etc/dovecot/conf.d/10-ssl.conf_line_64:_Unknown_setting:_ssl_min_protocol/


    Wenn ich die Dovecot Doku richtig lese unterstützt Doveecot 2.2 "ssl_dh" nicht. Wirft das keinen Fehler oder Warnung aus?

    Stimmt du hast Recht, Mein Fehler!

    Hatte das mit einem anderen Server verwechselt, der 2.3 verwendet.


    Apropos zwecks Fehlermeldungen bzw. Warnungen unter 2.2, keine Einträge im mail.log Log, jedoch startet Dovecot nicht …


    -----


    Bleibt aber noch die Sache, dass ssl = required, überschrieben wird

  • Richtig, die Option TLSv1.3 kennt Dovecot 2.2 nicht. Dies wird erst mit Dovecot 2.3 eingeführt. Ebenso wird ssl_min_protocol erst mit Dovecot 2.3 eingeführt. Dies ersetzt ssl_protocols.


    TLS 1.3 kann zwar explizit nicht angegeben werden, wird aber unterstützt. Man kann

    Code
    ssl_cipher_list = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384

    setzen. Dann hat man nur noch ECDHE Schlüssel in Verwendung und ist nicht mehr auf ssl_dh_parameter_length angewiesen. Dies sollte dann mehr einer "modernen" Konfiguration entsprechen. Elliptic Curve Schlüssel haben den Vorteil, dass diese weniger CPU-intensiv sind. In der Dovecot Doku wird auch empfohlen DHE Schlüssel zu deaktivieren.