<div dir="ltr">We're currently having a discussion on the IETF UTA WG on the topic, the postfix maintainer is arguing that disabling RC4, SSLv3 etc will cause plaintext fallback for MTA<->MTA traffic. Which is - as far as I can tell - correct for servers that do not support TLS properly (or legacy clients).<div><br></div><div><a href="https://www.ietf.org/mail-archive/web/uta/current/maillist.html">https://www.ietf.org/mail-archive/web/uta/current/maillist.html</a><br></div><div><br></div><div>So; configure your mailserver with caution, it might be unable to handle a large percentage of mail traffic.</div><div><br></div><div>Aaron</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 15, 2014 at 2:54 PM, A. Schulze <span dir="ltr"><<a href="mailto:sca@andreasschulze.de" target="_blank">sca@andreasschulze.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
Hello,<br>
<br>
to check, which protocols are enabled in postfix:<br>
# postconf | grep '_tls_protocols'<br>
<br>
to check, what's currently spoken:<br>
<br>
< inbound ><br>
# grep 'TLS connection established from' /var/log/mail | sed -e 's/^.*\]\: //' -e 's/ with cipher.*//' | sort | uniq -c<br>
<br>
< outbound ><br>
# grep 'TLS connection established to' /var/log/mail | sed -e 's/^.*\]:25\: //' -e 's/ with cipher.*//' | sort | uniq -c<br>
<br>
to disable SSLv2 + SSLv3 in postfix:<br>
# postconf -e 'lmtp_tls_protocols = !SSLv2,!SSLv3'<br>
# postconf -e 'smtp_tls_protocols = !SSLv2,!SSLv3'<br>
# postconf -e 'smtpd_tls_protocols = !SSLv2,!SSLv3'<br>
# postfix reload<br>
<br>
to use only TLS1 and TLS1.2 in nginx, add this inside the http { } section:<br>
ssl_protocols = TLSv1 TLSv1.2;<br>
<br>
to disable SSLv2 and SSLv3 in dovecot, add this to dovecot.conf:<br>
ssl_protocols = !SSLv2 !SSLv3<br>
<br>
please check if your version support this feature at all. This advise is valid for current releases.<br>
<br>
Andreas<br>
<br>
______________________________<u></u>_________________<br>
Ach mailing list<br>
<a href="mailto:Ach@lists.cert.at" target="_blank">Ach@lists.cert.at</a><br>
<a href="http://lists.cert.at/cgi-bin/mailman/listinfo/ach" target="_blank">http://lists.cert.at/cgi-bin/<u></u>mailman/listinfo/ach</a><br>
</blockquote></div><br></div>