[FRsAG] Postfix et TLS. Comment bien paramétrer ses ciphers ?

P. MARCHAND kikadisa at gmail.com
Ven 3 Avr 16:30:53 CEST 2020


En essayant de rassembler tout ce qui a été échangé.

Le ven. 3 avr. 2020 à 14:54, Vincent Tondellier via FRsAG <frsag at frsag.org>
a écrit :

> Le Friday 03 April 2020 13:46:00 Wallace a écrit :
> > C'est comme le RGPD qui a été renforcé dans certains états EU, les
> > danois ont ainsi l'obligation d'utiliser TLS 1.2 minimum, dans les
> > premiers mois du RGPD
>
> Moui, il a bon dos le RGPD ...
> Impressionnant la quantité de choses décidées unilatéralement sans aucune
> obligation légale que certains essayent de faire passer au nom du RGPD ...
>

Ce point est intéressant, car la RGPD est une reglementation Européenne qui
s'applique sur un espace sans limites de "frontières". Avec un peu de recul
cela semble abérrant. Je comprends le besoin législatif à outrance, mais
cela ne sert à personnes, et semble plutôt consituer une décharge de
nombreuses responsabilité vers des acteurs hégémonique...


> > tous les domaines d'Orange ne pouvait recevoir de
> > mails venant de danois car leurs serveurs n'étaient pas compatible TLS
> > 1.2. Je n'ai pas eu la fin de l'histoire, j'ose espérer que Orange a
> évolué.
>
> Nope. Rien de changé.
>
> in :
>
> $ grep 'TLSv1 ' /var/log/mail.log | grep orange | tail -n1
> Mar 29 19:12:56 gaia postfix/smtpd[708438]: Anonymous TLS connection
> established from smtp08.smtpout.orange.fr[80.12.242.130]: TLSv1 with
> cipher
> DHE-RSA-AES256-SHA (256/256 bits)
>
> out :
>
> $ zgrep 'TLSv1 ' /var/log/mail.log.2.gz | grep orange | tail -n1
> Mar 18 18:37:13 alpheratz postfix/smtp[535068]: Trusted TLS connection
> established to smtp-in.orange.fr[80.12.242.9]:25: TLSv1 with cipher
> DHE-RSA-
> AES256-SHA (256/256 bits)
>
> C'est orange hein, faut pas en demander trop ...
>

Ne pourrait-on pas les tacler législativement ?
En soit ne mettent-il pas en risque leurs usagers ?
............Allô la Quadra ?

De : jonathan at inikup.com

> C'est triste à dire, mais ça va sûrement se terminer comme pour HTTPS
> : un beau jour Google, Yahoo! et Microsoft vont décréter que leurs
> serveurs ne parleront plus avec ceux n'ayant pas une configuration TLS
> valide et moderne. Et alors en 6 mois 90 % des serveurs SMTP de la
> planète seront mis à jour.
>

Ces acteurs font la loi ? Ca me dégoute.

De : maxime at mouet-mouet.net

C'est tout le problème d'Internet : des réseaux indépendants à gouvernance
> variable qui font au mieux pour discuter à peu près correctement avec à peu
> près tout le monde.
>

 Au départ, nous étions d'accord sur le TCP/IP, maintenant chacun fait en
fait qu'a sa tête (Il ya 13 standards, attend j'ai une idée => Il y a 14
standards)

Le protocole SSLv3 est officiellement déprécié, il est en principe interdit
> de
> l'utiliser. Tu es en droit de le virer de ton côté.
>

Etrangement sur ce point, tout le monde semble avoir honnis le SSLv3, ce
qui montre qu'il y a bien un consensus à minima pour s'accorder sur des
standards.

Et ce n'est pas Wanadoo qui essaie de te contacter, mais une adresse
> assignée à un abonnement Wanadoo. Peut-être quelqu'un qui s'auto-héberge
> (particulier ou entreprise), peut-être quelqu'un qui scanne, peut-être un
> robot malveillant
>

Oui, c'était bien un scan; fausse alerte.

Oui il y a des algo obsolètes et vulnérables, et des tests en ligne (comme
> internet.nl) vont râler, mais c'est toujours mieux (IMHO et celle
> d'autres
> personnes comme les dévs de postfix) que le repli vers le texte clair ...
>

Je veux bien la source de tes propos sur les devs de Postfix pour enrichir
mes connaissances.

De : tonton+frsag at team1664.org

> l'option afférente étant : smtpd_tls_auth_only = yes
>
> Ca c'est pas du tout pour forcer le tls. C'est pour forcer que
> l'authentification soit annoncée et se fasse uniquement si tls est
> présent. Il
> ne faut activer ca que pour le msa sur le port submission/587 ou 465.
> Voir
> http://www.postfix.org/TLS_README.html
> et
> http://www.postfix.org/SASL_README.html
>
Pardon pour la mauvaise info, merci pour l'enrichissement ;)
je croyais que coupler au chiffrement opportuniste (starttls) cela
permettait d'éviter le transfert non chiffré.

Ces recommandations sont faites pour le web ou les clients tls (les
> navigateurs) sont mis a jour régulièrement.
> Pour le mail, c'est beaucoup plus lent, voir même fossilisé. Dans certains
> cas, il faut même attendre que le boitier utm/sécurité/antivirus/antispam
> jamais mis a jour (et pas forcément a cause de l'utilisateur) tombe en
> panne
> pour qu'il soit remplacé
>

 C'est vrai, je n'y avais pas pensé à ce décalage entre le "oueb" et le
mail, par contre en jetant un oeil à la RFC du TLS 1.1 (pour l'exemple)

   This document specifies Version 1.1 of the Transport Layer Security
   (TLS) protocol.  The TLS protocol provides communications security
   over the Internet.  The protocol allows client/server applications to
   communicate in a way that is designed to prevent eavesdropping,
   tampering, or message forgery.

Il est nullement question d'une segmentation Web/Mail...

Bref, merci à tous pour vos retour.
Ce que je conclus c'est :
  - disposez de sa boîte mail comme de sa boîte aux lettre semble compliqué.
  - Il est difficile de s'acorder ensemble sur les protocoles à tenir pour
dialoguer
  - Il semble qu'il y ait une dichotomie entre les reglementations et les
RFC. Là où les premiers sont limité géographiquement, le second est global
(sans frontières)
  - Les versions du TLS sont mises à dispositions et sont retiré par chacun
au fur et à mesure (exemple pour le retrait du TLS 1.1 de firefox :
https://blog.mozilla.org/security/2018/10/15/removing-old-versions-of-tls/)
à coup de décisions unilatéral sans consortium (je veux bien une
confirmation)

Bonne journée, bon hardening, bons updates (oui, Haproxy et sa CVE cette
nuit),

exit 0

Le ven. 3 avr. 2020 à 14:54, Vincent Tondellier via FRsAG <frsag at frsag.org>
a écrit :

> Le Friday 03 April 2020 13:46:00 Wallace a écrit :
> > C'est comme le RGPD qui a été renforcé dans certains états EU, les
> > danois ont ainsi l'obligation d'utiliser TLS 1.2 minimum, dans les
> > premiers mois du RGPD
>
> Moui, il a bon dos le RGPD ...
> Impressionnant la quantité de choses décidées unilatéralement sans aucune
> obligation légale que certains essayent de faire passer au nom du RGPD ...
>
> > tous les domaines d'Orange ne pouvait recevoir de
> > mails venant de danois car leurs serveurs n'étaient pas compatible TLS
> > 1.2. Je n'ai pas eu la fin de l'histoire, j'ose espérer que Orange a
> évolué.
>
> Nope. Rien de changé.
>
> in :
>
> $ grep 'TLSv1 ' /var/log/mail.log | grep orange | tail -n1
> Mar 29 19:12:56 gaia postfix/smtpd[708438]: Anonymous TLS connection
> established from smtp08.smtpout.orange.fr[80.12.242.130]: TLSv1 with
> cipher
> DHE-RSA-AES256-SHA (256/256 bits)
>
> out :
>
> $ zgrep 'TLSv1 ' /var/log/mail.log.2.gz | grep orange | tail -n1
> Mar 18 18:37:13 alpheratz postfix/smtp[535068]: Trusted TLS connection
> established to smtp-in.orange.fr[80.12.242.9]:25: TLSv1 with cipher
> DHE-RSA-
> AES256-SHA (256/256 bits)
>
> C'est orange hein, faut pas en demander trop ...
> _______________________________________________
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://www.frsag.org/pipermail/frsag/attachments/20200403/41e7bea6/attachment-0001.htm>


Plus d'informations sur la liste de diffusion FRsAG