Configuration Postfix & notation Cryptcheck

#1

Bonjour à tous,
Nous sommes confrontés a un petit problème de configuration de notre serveur mail (mail.allella.io) puisque cryptcheck nous donne la note de G ! Oui, c’est moche ! Visiblement, c’est au niveau des supports des versions de TLS que ça fuche. Savez-vous sur quels critères se base le check Quelqu’un pourrait-il nous aiguiller ? Dans notre config, nous avons ajouté :

# Disable older ciphers
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3,!TLSv1
smtp_tls_mandatory_protocols  = !SSLv2,!SSLv3,!TLSv1
smtpd_tls_protocols           = !SSLv2,!SSLv3,!TLSv1
smtp_tls_protocols            = !SSLv2,!SSLv3,!TLSv1

Notre note ne grimpe pas pour autant ! Merci de votre aide.

#2

Bonsoir,

Pour ma part j’ai ceci dans main.conf :

smtp_tls_protocols=!SSLv2,!SSLv3
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3
smtpd_tls_protocols=!SSLv2,!SSLv3
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3

Mais j’ai rajouté ceci dans master.conf :

submission inet n - n - - smtpd
-o smtpd_enforce_tls=yes
-o smtpd_tls_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
smtps inet n - n - - smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_tls_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
-o smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1

De cette manière j’autorise les connexions entre serveurs smtp à partir de tlsv1.0, mais les connexions clientes (envoi de mail) ne se font qu’à partir de tlsv1.2.

Pourquoi tlsv1.0 ? Car certains smtp comme orange ne savent toujours pas transporter sur un protocole plus récent.

En espérant pouvoir t’aider.

Bonne soirée !

#3

Hello Thomas,

Merci pour le retour.
Effectivement j’avais noté aussi ce comportement avec certains fournisseurs de messagerie qui ne savent que parler avec un vieux protocole de sécurité.

J’ai ajouté les configurations que tu as proposé mais ça n’a pas eu d’incidence sur la note globale dans cryptcheck :frowning:
https://cryptcheck.fr/smtp/allella.fr

Le truc c’est que j’ai du mal à comprendre le tableau et savoir ce qui est détecté comme mauvais et doit être corrigé.

Merci,
Julien

#4

Mon serveur mail a une note F, peut être parce qu’on restreint les ciphers: https://gitlab.com/simple-nixos-mailserver/nixos-mailserver/-/blob/7d2020cb362aa4c16fad9d1151820a21a26bd5fe/mail-server/postfix.nix#L217

Je suis bien curieux de savoir quelle note peut-on avoir tout en ayant un serveur SMTP fonctionnel (gmail a aussi F)…

#5

Il y a dut y avoir une mise a jour de cryptcheck parce que je suis passé de B a F sans changer la configuration.

Le problème c’est que si on fait une bonne configuration pour le tls on risque 'avoir pas mail de serveur mail qui vont transmettre en clair car ils ne sont pas compatibles avec les ciphers sécurisés. Savoir quoi faire comme configuration pour le mail est donc assez compliqué.

je te conseil quand même d’exclure les ciphers null et md5:
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5

Ça ne fera pas monter ta note mais je ,e bois pas l’interet des les autoriser.

#6

Dans un autre message parce que je me suis amusé a faire quelques tests sur mon serveur de mail: cette configuration me donne un A+:

smtpd_tls_mandatory_ciphers = high
smtpd_tls_security_level = encrypt
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5, RSA, SHA1, DHE
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1
smtpd_tls_auth_only = yes

Pour l’obtenir j’ai enlevé tout ce qui était en orange dans le résultat de cryptcheck. Il y a des choses avec lesquels je ne suis pas d’accord, par exemple a ma connaissance RSA n’est pas cassé (mais ils faut faire attention a la longueur des clefs) Pour Diffie-Hellman il me semble que c’est pareil (mais la je suis moins sur de moi).

SHA1 est connu comme était faible depuis un certain temps mais avoir des collisions est compliqué dans certain cas il me semble (mais ce n’est pas délirant de le virer). MD5 a des collisions donc c’est une passoire. Il y a des failles dans TLSv1.

Sauf que… Orange ne supporte que du Diffie-Hellman/RSA avec du sha1/md5 sur TLSv1 donc tu communiquerait avec ces clients en clair (ce qui est pire que de communiquer avec une crypto trouée a mon avis).

En ce qui me concerne pour ma candidature chez les chatons je vais rester sur un F sur cryptcheck car ça me semble être un moindre mal (mais si orange pouvait se bouger et mettre a jours ses serveurs ça serait sympa)

voila ma configuration:

smtpd_tls_mandatory_ciphers = high
smtpd_tls_security_level = encrypt
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_auth_only = yes
1 Like