Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- centos:mail_c7:postfix3_5 [14.02.2019 21:24. ] – [cipherscan] django
+++ centos:mail_c7:postfix3_5 [25.05.2020 10:25. ] (aktuell) – django
@@ Zeile 565: / Zeile 565: @@
   subject= /O=CAcert Inc./OU=http://www.CAcert.org/CN=CAcert Class 3 Root
-==== CA Vetrauensmodell - CA Trust ====
+==== CA Vertrauensmodell - CA Trust ====
 {{page>centos:ca-trust&nofooter&showheader}}
@@ Zeile 3413: / Zeile 3413: @@
 Mit nachfolgendem Aufruf kann überprüft werden, welche Ciphers angeboten werden.
-   # /usr/local/src/cipherscan-master/cipherscan -o /usr/local/src/cipherscan-master/openssl --curves -starttls smtp mx1.nausch.org:587
+   # /usr/local/src/cipherscan/cipherscan -o /usr/local/src/cipherscan/openssl --curves -starttls smtp mx1.nausch.org:587
 <code>.....................................
@@ Zeile 3444: / Zeile 3444: @@
 Die Bewertung der einzelnen Chiffren müssen wir hier immer noch selbst vornehmen; hilfreiche Informationen hierzu findet man z.B. im Buch **//[[https://www.feistyduck.com/books/bulletproof-ssl-and-tls/|BULLETPROOF SSL AND TLS]]//** von **[[http://blog.ivanristic.com/|Ivan Ristić]]**. Wir können aber auch zur genauen Bewertung der TLS-Verwundbarkeit unseres SMTP-Servers auf das nachfolgend beschriebene Projekt **[[centos:mail_c7:mta_5#testssl|testssl]]** zurückgreifen.
-<WRAP center round todo 30%>
-FIXME FIXME FIXME
-  * //**... in Überarbeitung!**//
-FIXME FIXME FIXME
-</WRAP>
 ==== testssl ====
@@ Zeile 3459: / Zeile 3451: @@
 Zum Testen unseres SMTP-Servers nutzen wir nachfolgenden Aufruf.
-   # testssl.sh --starttls smtp 10.0.0.87:25
+   # testssl --starttls smtp mx1.nausch.org:25
 Als Ergebnis erhalten wir eine ausführliche Aufstellung zum TLS-Gesundheitszustandes unseres Servers.
@@ Zeile 3467: / Zeile 3459: @@
 <font style="color: rgb(0, 0, 0)">
 <b>###########################################################
-    testssl.sh       2.6 from https://testssl.sh/
+    testssl.sh       2.9.5 from https://testssl.sh/
     (</font><font style="color: rgb(104, 104, 104)">1.379c 2015/09/29 16:47:47</font><font style="color: rgb(0, 0, 0)">)
@@ Zeile 3478: / Zeile 3470: @@
 ###########################################################
 </b>
-Using "OpenSSL 1.0.2-chacha (1.0.2d-dev)" [~181 ciphers] on
+Using "OpenSSL 1.1.1a FIPS  20 Nov 2018" [~186 ciphers]
- vml000087.dmz.nausch.org:/root/bin/openssl.Linux.x86_64
+ on T410:/usr/bin/openssl
- (built: "Jul  6 18:05:33 2015", platform: "linux-x86_64")
+ (built: "Jan 15 14:37:19 2019", platform: "linux-x86_64")
-<font style="background-color:black"><font style="color: rgb(255, 255, 255)">Testing now (2015-10-13 12:54) ---> 10.0.0.87:25 (10.0.0.87) <---</font></font>
+<font style="background-color:black"><font style="color: rgb(255, 255, 255)">Start 2019-02-14 22:43:48        -->> 10.0.0.87:587 (10.0.0.87) <<--</font></font>
  rDNS (10.0.0.87):       vml000087.dmz.nausch.org.
@@ Zeile 3584: / Zeile 3576: @@
-<font style="background-color:black"><font style="color: rgb(255, 255, 255)">Done now (2015-10-13 12:55) ---> 10.0.0.87:25 (10.0.0.87) <---</font></font>
+<font style="background-color:black"><font style="color: rgb(255, 255, 255)">Done 2019-02-14 22:46:04 [  30s] -->> 217.92.13.131:25 (mx1.nausch.org) <<--</font></font>
 </pre></html>
 ==== ssl-tools.net ====
@@ Zeile 3602: / Zeile 3595: @@
 Der verschlüsselte Transportweg wird in der Headerzeilen einer eMail entsprechend vermerkt:
 <code>Received: from mx1.tachtler.net (mx1.tachtler.net [88.217.171.167]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested)
-	   by mx1.nausch.org (Postfix) with ESMTP for <michael@nausch.org>; Thu, 26 Mar 2009 09:30:36 +0100 (CET)</code>
+	   by mx1.nausch.org (Postfix) with ESMTP for <michael@nausch.org>; Thu, 14 Feb 2019 19:13:37 +0100 (CET)</code>
 Auch im **Maillog** wird die gesicherte Kommunikation protokolliert:
-<code>Mar 26 23:40:40 nss postfix/smtp[18519]: setting up TLS connection to mx1.tachtler.net
+<code>Feb 14 19:13:37 nss postfix/smtp[18519]: setting up TLS connection to mx1.tachtler.net
-Mar 26 23:40:40 nss postfix/smtp[18519]: TLS connection established to mx1.tachtler.net: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
+Feb 14 19:13:37 nss postfix/smtp[18519]: TLS connection established to mx1.tachtler.net: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
-Mar 26 23:40:52 nss postfix/smtp[18519]: ECC0E1158526: to=<root@tachtler.net>, relay=mx1.tachtler.net[88.217.171.167]:25, delay=13, delays=0.01/0.14/0.81/12, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as D7C7141582)</code>
+Feb 14 19:13:37 nss postfix/smtp[18519]: ECC0E1158526: to=<root@tachtler.net>, relay=mx1.tachtler.net[88.217.171.167]:25, delay=13, delays=0.01/0.14/0.81/12, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as D7C7141582)</code>
 ==== TLS-Verkehrsstatistik ====
-Bei bedarf können wir uns bei unserem Mailserver, mit Hilfe der nachfolgenden Befehle, einen Überblick über Anzahl und Art der einzelnen TLS-Verbindungen anzeigen lassen.
+Bei Bedarf können wir uns bei unserem Mailserver, mit Hilfe der nachfolgenden Befehle, einen Überblick über Anzahl und Art der einzelnen TLS-Verbindungen anzeigen lassen.
 === ankommender TLS-Verkehr ===
-   # grep 'TLS connection established from' /var/log/maillog | sed -e 's/^.*\]\: //' -e 's/ with cipher.*//' | sort | uniq -c
+Wieviele verschlüsselte Verbindungen unser MTA angenommen hat, verrät uns ein Blick in das Maillog. Dort suchen wir nach den entsprechenden Zeilen mit z.B. mit folgender Abfrage.
-<code>  42184 TLSv1
+   # egrep "TLS connection established from.*with cipher" /var/log/maillog | awk '{printf("%s\n", $12)}'  \
-TLSv1.2</code>
+           | sort | uniq -c | sort -nr
+<code>193593 TLSv1.2
+TLSv1
+TLSv1.1
+</code>
+Eine Aufstellung der unterschiedlichen Protokolle mit den verwendeten Ciphern ermitteln wir mit folgendem Befehl:
+   # egrep "TLS connection established from.*with cipher" /var/log/maillog | awk '{printf("%s %s %s %s\n", $12, $13, $14, $15)}' \
+           | sort | uniq -c | sort -nr
+<code> 238038 TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384
+TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384
+TLSv1.2 with cipher ECDHE-ECDSA-AES256-GCM-SHA384
+TLSv1 with cipher DHE-RSA-AES256-SHA
+TLSv1.2 with cipher ECDHE-ECDSA-AES256-SHA384
+TLSv1 with cipher ECDHE-RSA-AES256-SHA
+TLSv1 with cipher ECDHE-ECDSA-AES256-SHA
+TLSv1.2 with cipher AES256-GCM-SHA384
+TLSv1.2 with cipher DHE-RSA-AES256-SHA256
+TLSv1.2 with cipher ECDHE-RSA-AES256-SHA
+TLSv1.1 with cipher ECDHE-RSA-AES256-SHA
+TLSv1.1 with cipher ECDHE-ECDSA-AES256-SHA
+TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384
+TLSv1.2 with cipher AES256-SHA256
+TLSv1.2 with cipher AES256-SHA
+TLSv1.2 with cipher AES128-GCM-SHA256
+TLSv1.2 with cipher AES128-SHA256
+TLSv1.2 with cipher AES128-SHA
+TLSv1.2 with cipher ECDHE-RSA-AES128-SHA256
+TLSv1.2 with cipher ECDHE-RSA-AES128-SHA
+TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256
+TLSv1.2 with cipher DHE-RSA-CAMELLIA256-SHA
+TLSv1.2 with cipher DHE-RSA-CAMELLIA128-SHA
+TLSv1.2 with cipher DHE-RSA-AES256-SHA
+TLSv1.2 with cipher DHE-RSA-AES128-SHA256
+TLSv1.2 with cipher DHE-RSA-AES128-SHA
+TLSv1.2 with cipher DHE-RSA-AES128-GCM-SHA256
+TLSv1.1 with cipher AES256-SHA
+TLSv1 with cipher AES256-SHA
+TLSv1 with cipher AES128-SHA
+TLSv1.2 with cipher CAMELLIA256-SHA
+TLSv1.2 with cipher ECDHE-ECDSA-AES256-SHA
+TLSv1.2 with cipher CAMELLIA128-SHA
+TLSv1.1 with cipher AES128-SHA
+TLSv1 with cipher ECDHE-RSA-AES128-SHA
+TLSv1 with cipher DHE-RSA-CAMELLIA256-SHA
+TLSv1 with cipher DHE-RSA-CAMELLIA128-SHA
+TLSv1 with cipher DHE-RSA-AES128-SHA
+TLSv1 with cipher CAMELLIA256-SHA
+TLSv1 with cipher CAMELLIA128-SHA
+TLSv1.2 with cipher ECDHE-ECDSA-AES128-SHA256
+TLSv1.2 with cipher ECDHE-ECDSA-AES128-SHA
+TLSv1.2 with cipher ECDHE-ECDSA-AES128-GCM-SHA256
+TLSv1.1 with cipher ECDHE-RSA-AES128-SHA
+TLSv1.1 with cipher DHE-RSA-CAMELLIA256-SHA
+TLSv1.1 with cipher DHE-RSA-CAMELLIA128-SHA
+TLSv1.1 with cipher DHE-RSA-AES256-SHA
+TLSv1.1 with cipher DHE-RSA-AES128-SHA
+TLSv1.1 with cipher CAMELLIA256-SHA
+TLSv1.1 with cipher CAMELLIA128-SHA
+TLSv1 with cipher ECDHE-ECDSA-AES128-SHA
+TLSv1.1 with cipher ECDHE-ECDSA-AES128-SHA</code>
 === ausgehender TLS-Verkehr ===
+Wollen wir wissen wieviele TLS gesichete Verbindungen unser Mailserver zu anderen aufbaut können wir dies wie folgt abrufen
    # grep 'TLS connection established to' /var/log/maillog | sed -e 's/^.*\]:25\: //' -e 's/ with cipher.*//' | sort | uniq -c
-<code>  69741 TLSv1
+<code>  324664 TLSv1.2</code>
- TLSv1.1
- TLSv1.2</code>
+Wollen wir wissen welche Cipher bei den unterschiedlichen Protokollen verwendet wurden, fragen wir dies mit folgendem Befehl ab:
+   # egrep "TLS connection established to.*with cipher" /var/log/maillog | awk '{printf("%s %s %s %s\n", $12, $13, $14, $15)}' \
+             | sort | uniq -c | sort -nr
+<code> 181337 TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256
+TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384
+TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384
+TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384
+TLSv1.2 with cipher DHE-RSA-AES256-SHA256
+ TLSv1.2 with cipher AES256-GCM-SHA384</code>
 === graphische Übersicht des TLS-Clientverkehrs ===