TLS v1 und v1.1 für SMTPS und STARTTLS deaktivieren

  • Hallo,

    ich würde gerne TLS 1 und 1.1 generell deaktivieren.

    Für IMAPS, POP3S, PROFTP und Webserver habe ich es hinbekommen.

    Leider finde ich nirgends eine Möglichkeit die für SMTPS und STARTTLS zu deaktivieren.

    Ich denke das ich mit /var/qmail/control/tlsserverciphers auf der richtigen Spur bin.

    Leider bin ich mir nicht klar, was genau in dieses File reingehört, um nur noch TLS 1.2 und 1.3 zu zulassen.

    Danke für euer Hilfe!

    Gruß Michael

  • Für STARTTLS über SMTP Port 25 funktioniert dieses Vorgehen.

    Nun würde ich diese Protokolle auch noch gerne für SMPTS Port 465 deaktivieren. Da ist TLS1 und1.1 immer noch aktiv.

    Vielen Dank!

  • /service/qmail-smtpSd/run erzeugt fuer Port 465 eine stunnel-Konfigurationsdatei. Da sollten sich TLSv1.0 und TLSv1.1 wie folgt deaktivieren lassen:

    Code
    options = NO_SSLv2
    options = NO_SSLv3
    options = NO_TLSv1
    options = NO_TLSv1.1

    Aktuelle Versionen der Server-Umgebung mit OpenSSL 3 bieten diese alten Versionen allerdings auch gar nicht mehr an.

  • Ich verwende pd-admin in der Version 4.105 und die Server-Umgebung 0.414. Ist eigentlich nicht so alt...

    Werd gleich mal ein update machen - Wäre natürlich super, wenn dann diese Versionen nicht mehr verfügbar wären.

  • Update ist durch, TLSv1 und TLSv1.1 leider immer noch aktiv.

    Ursache dafür ist offensichtlich die openSSL Version - ist immer noch 1.1.1s.

    Ich denke das liegt an der von mir verwendeten SE Reihe 7 - ist anscheinend die einzige Reihe die noch nicht openSSL 3 verwendet.

    Gibt es eigentlich einen Grund dafür? Ist ein Upgrade für Reihe 7 angedacht?


    Die oben angegebenen options funktionieren nicht wie erwartet:

    Code
    options = NO_SSLv2 -> ist nich nötig, da ohnehin nicht mehr aktiv
    options = NO_SSLv3 -> ist nich nötig, da ohnehin nicht mehr aktiv
    options = NO_TLSv1 -> funktioniert - deaktiviert TLSv1
    options = NO_TLSv1.1 -> funktioniert nicht - deaktiviert TLSv1.1 und 1.2

    Auf diese Variante funktioniert es aber für mich:

    Code
    sslVersionMin = TLSv1.2

    Es stellt sich noch dir Frage: Könnte meine Änderung im /service/qmail-smtpSd/run bei einem Update überschrieben werden?

  • MariaDB 10.5 ist nur in Reihe 9 verfügbar, diese ist noch experimentell.

    Ist ein Wechsel von einer Reihe auf eine andere so ohne weiteres Möglich? Vielleicht auch von 7 auf 6 (MariaDB auf MySQL)?