Postfix SSLv3 deaktivieren

Abstract

Es häufen sich Fragen, ob man SSLv3 in Postfix wegen des Poodle Bugs abschalten sollte. Hier ein kurzer Überblick.

Soll man SSLv3 in Postfix wegen des Poodle Bugs abschalten? Der Poodle Bug beschreibt eine Schwachstelle des SSLv3-Protokolls, "mit dem sich im Prinzip nahezu alle verschlüsselten Verbindungen im Internet knacken lassen" (siehe Heise-Meldung vom 15.10.2014). Die Schwachstelle kann vor allem im HTTP-Protokoll ausgenutzt werden. In SMTP ist es weitaus schwieriger, die dafür erforderlichen Voraussetzungen zu schaffen.

Dennoch wollen viele Administratoren SSLv3 in Postfix deaktivieren. Um dies zu erreichen, müssen folgende Parameter in main.cf gesetzt werden:

# Maileingang
smtpd_tls_protocols = !SSLv2,!SSLv3
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
# Mailausgang
smtp_tls_protocols = !SSLv2,!SSLv3
smtp_tls_mandatory_protocols = !SSLv2,!SSLv3

SSLv2 sollte per se immer deaktiviert werden.

Muss man derzeit SSLv3 in Postfix deaktivieren?

Nein, man muss nicht! Bis heute ist kein Angriff auf SMTP via SSLv3 bekannt.

Was kann passieren, wenn ich SSLv3 in Postfix abschalte?

Wer SSLv3 abschaltet, kann nicht mehr verschlüsselt mit jenen kommunizieren, die nur SSLv3 und nicht die aktuellen Protokollversionen TLS 1.0, TLS 1.1 und TLS 1.2 beherrschen.

Von einer Deaktivierung sind bekanntermaßen betroffen:

  • Outlook 2003 auf Win XP (und wahrscheinlich auch auf Win7)
  • ältere Versionen von Lotus Notes Domino

Workarounds

Lassen Sie SSLv3 für eingehende Verbindungen auf dem Submission Port (tcp/587) aktiviert.

Deaktivieren Sie SSLv3 global für ausgehende Verbindungen und aktivieren Sie es gezielt mit smtp_tls_policy_maps für einzelne Ziele.

Robert Schetterer, 21. October 2014