[FRsAG] Postfix et TLS. Comment bien paramétrer ses ciphers ?

P. MARCHAND kikadisa at gmail.com
Ven 3 Avr 12:04:12 CEST 2020


Hello Mesdames et Messieurs

Je m'amuse à monter un petit serveur postfix à la maison, et j'ai mis un
peu le nez dans la configuration TLS.

Sauf que j'avoue être confronté à l'interopérabilité avec les serveurs SMTP
tiers.
J'ai pris la décision de "respecter" certains standard et actes conseillé,
cependant je crois que cela est un poil barbare.

Je vois quelques logs passer m'indiquant des erreurs de configuration du
TLS. Pourtant certains mails passent, d'autre non.

Exemple :
2020-04-03T06:45:32.116577+00:00 mail postfix/smtpd[21357]: connect from
lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr[92.154.95.236]
2020-04-03T06:45:32.188745+00:00 mail postfix/smtpd[21357]: setting up TLS
connection from lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr[92.154.95.
236]

2020-04-03T06:45:32.190314+00:00 mail postfix/smtpd[21357]:
lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr[92.154.95.236]: TLS cipher
list "TLSv1.2:
ECDHE:!AES128:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!EXP:!MEDIUM:!LOW:!SSLv2:!MD5:!DES:!ADH:!RC4:!PSD:!SRP:!3DES:!eNULL:!aNULL"
2020-04-03T06:45:32.192204+00:00 mail postfix/smtpd[21357]:
SSL_accept:before SSL initialization
2020-04-03T06:45:32.208266+00:00 mail postfix/smtpd[21357]:
SSL_accept:before SSL initialization
2020-04-03T06:45:32.210173+00:00 mail postfix/smtpd[21357]: SSL3 alert
write:fatal:protocol version
2020-04-03T06:45:32.211278+00:00 mail postfix/smtpd[21357]:
SSL_accept:error in error

2020-04-03T06:45:32.212614+00:00 mail postfix/smtpd[21357]: SSL_accept
error from lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr[92.154.95.236]: -1
2020-04-03T06:45:32.213057+00:00 mail postfix/smtpd[21357]: warning: TLS
library problem: error:14209102:SSL routines:tls_early_post_process_client_
hello:unsupported protocol:ssl/statem/statem_srvr.c:1660:

2020-04-03T06:45:32.214265+00:00 mail postfix/smtpd[21357]: lost connection
after STARTTLS from lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr[92.15
4.95.236]

2020-04-03T06:45:32.215988+00:00 mail postfix/smtpd[21357]: disconnect from
lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr[92.154.95.236] ehlo=1 sta
rttls=0/1 commands=1/2

Comme vous pouvez le constater ma cipherlist est "réduite"
TLSv1.2:ECDHE:!AES128:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!EXP:!MEDIUM:!LOW:!SSLv2:!MD5:!DES:!ADH:!RC4:!PSD:!SRP:!3DES:!eNULL:!aNULL
On peut retrouver la liste des ciphers rattaché avec openssl cphers -V
'TLSv1.2:ECDHE:!AES128:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!EXP:!MEDIUM:!LOW:!SSLv2:!MD5:!DES:!ADH:!RC4:!PSD:!SRP:!3DES:!eNULL:!aNULL'

Mon idée de départ était de respecter les préco suivantes :
Pas de SSLv2, SSLv3
Pas de TLS1.0, ni TLS1.1 (fin de vie de ce derneir cette année)
retrait de l'AES 128 (ainsi que du camellia128) car il existe leur
équivalent en 256.

A la vue de ce log, est-ce que cela signifie que Wanadoo (!) transmets
encore ces mails par le biais du SSLv3 ?
Pourtant SSLv3 est faillible à POODLE...

Est-il judicieux d'indiquer que tous les échanges avec le daemon smtpd se
font en TLS ?
l'option afférente étant : smtpd_tls_auth_only = yes

Finalement est-il pertinent de "respecter" les recommendations du TLS, si
certains ne les respectent pas. La question est plus ou moins inutile, car
oui c'est  pertinent, mais n'est ce pas de la discrimination que de laisser
ceux qui sont à la traîne pour mettre à jour leur confs, au risque de leur
retirer leur moyens d'expression ?
Prochaienement la campagne des impots va commencer, et je souhaiterais
recevoir le mail du centre des finances. Mais si ces percepteurs disposent
de serveurs mails foireux, je ne sais si je vais parvenir à payer mes
impots.

Bien à vous,

PM.
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://www.frsag.org/pipermail/frsag/attachments/20200403/2c188fa3/attachment.htm>


Plus d'informations sur la liste de diffusion FRsAG