Hallo, gestern habe ich mit Schrecken von dem neuen SSL-Bug erfahren:
https://de.ssl-tools.net/poodle-test https://community.qualys.com/blogs/securitylabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack Wo ja steht man solle SSLv3 am besten einfach abklemmen. Was ich auch gleich gemacht habe. Zumindest beim Apache ging es wie beschrieben. Bei Postfix scheint es mir aber dennoch aktiv zu sein... Wie es hier steht: http://www.postfix.org/postconf.5.html#smtpd_tls_mandatory_protocols habe ich das eingestellt für vorsichtshalber alles: Also: smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 smtp_tls_protocols = !SSLv2, !SSLv3 Es wird auch mit postconf nach einem Neustart so angezeigt - aber mit einem: openssl s_client -ssl3 -startssl smtp -connect mailbox.org:25 Kommt es nicht zu einem Fehler - sondern es gibt einfach einen connect der auf den SMTP-Handshake wartet. Hat schon jemand erfolgreich SSLv3 in Postfix abgeschaltet oder ist es eh zu viel Panikmache? Danke & Gruß, Alex
