Postfix gegen SSL-FREAK-Attacke sichern

Abstract

Postfix kann mit wenigen Handgriffen gegen die SSL-Schwachstelle FREAK geschützt werden. Ich zeige die notwendigen Schritte.

Die SSL-FREAK-Attacke betrifft jeden Dienst, der EXPORT-Chiffren innerhalb einer SSL/TLS-Session anbietet. Die Entwickler verschiedener SSL-Libraries arbeiten an Patches, um diese Schwachstelle zu beseitigen. Bis dahin ist es am einfachsten, die Nutzung von EXPORT-Chiffren einfach zu verbieten. Der Server bietet dann keine EXPORT-Chiffre an, und die Schwachstelle kann nicht ausgenutzt werden.

In Postfix muss dazu in der Datei main.cf der Parameter smtpd_tls_exclude_ciphers gesetzt sein, und mindestens folgende Optionen müssen gegeben werden:

smtpd_tls_exclude_ciphers = EXPORT, LOW

Nach einem postfix reload ist der SMTP-Server gegen FREAK gesichert.

Patrick Koetter, 04. March 2015

   security    ssl