debianforum.de

Hi,

ich hatte frueher postfix, aber da ich mir einen neuen Rechner eingerichtet hatte, und ich mit Postfix überfordert war, blieb ich bei der Vorinstallatin von Exim4, die im Prinzip auf Anhieb funktionierte.

Sie nutzt TLS, das konnte ich über wireshark rausfinden, aber ich habe keinen Plan von der Konfiguration. Ich gehe davon aus, dass Exim4 auch ohne TLS Mails verschicken würde, wenn zb. beim Mailprovider etwas fehlkonfiguriert wäre oder ein man in the middle hängt.

Nun die Frage: wie stelle ich sicher, dass Exim4 auch tatsächlich immer TLS verwendet und nicht auch einmal ein schwächeres Protokoll?

Gruß

Wie Du ältere Protokolle wie SSLv2 und SSLv3 deaktivierst wird im Beitrag über POODLE-Angriffe auf der Exim-Mailingliste erklärt. Bei SMTP ist die Verschlüsselung optional - Du kannst sie also nicht generell erzwingen. Siehe RFC 2487:

A publicly-referenced SMTP server MUST NOT require use of the
STARTTLS extension in order to deliver mail locally. This rule
prevents the STARTTLS extension from damaging the interoperability of
the Internet's SMTP infrastructure.

Man kann aber Ausnahmen definieren wenn man weiss, dass sein Gegenüber STARTTLS beherrscht.

Dimejo hat geschrieben: Bei SMTP ist die Verschlüsselung optional - Du kannst sie also nicht generell erzwingen.

RFC-unabhängig kann sie aber technisch erzwungen werden
postfix zBsp. -> smtp_..._mandatory_... resp. ..._exclude_...