Moin,
nachdem auf heise.de mal wieder über security un ssl gequakt wurde dacht ich mir ich schau mal eben was der apache2.4 mit nem aktuellen openSSL so alles kann.
tldr:
vim /etc/apache/mods-enabled/ssl.conf
SSLCipherSuite HIGH!aNULL:!MD5
SSLHonorCipherOrder on
SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2
danach sollte des so ausschauen
wo ich mich noch mit rumschlage ist, dem postfix das bei zu bringen, klar der macht jetz schon TLS/SSL aber da geht wie immer was ;) nach ein wenig suchen habe ich den auch gleich was gefunden, wenn ihr einen aktuellen Postfix 2.9+ mit nem aktuellen openSSL habt, könnt ihr auch TLSv1.1 bzw. TLSv1.2 nutzen.
vim /etc/postfix/main.cf
# TLS parameters
smtp_tls_CAfile = ...
smtpd_tls_cert_file = ...
smtpd_tls_key_file = ....
smtpd_tls_ciphers = high
smtpd_tls_exclude_ciphers = aNULL, MD5, DES, 3DES, DES-CBC3-SHA, RC4-SHA, AES256-SHA, AES128-SHA
smtpd_use_tls =yes
smtp_tls_protocols = !SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2
smtpd_tls_mandatory_protocols = TLSv1
smtp_tls_note_starttls_offer = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_auth_only = yes
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 7200s
tls_random_source = dev:/dev/urandom
danach postfix noch neustarten
Update 2013-11-07
nachdem bei heise der artikel auftauchte un ssllabs nachgezogen hat auch hier im Tut RC4 entfernt – wer mag kann RC4 noch gesondert raus werfen mit
SSLCipherSuite HIGH!aNULL:!MD5:!RC4