Mails zukunftssicher verschlüsseln mit PFS (Perfect Forward Secrecy)

Zahlreiche SSL-Sicherheitslücken und nicht zuletzt der NSA-Skandal machen den Einsatz von PFS  unumgänglich. Wie PFS funktioniert, können Sie z.B. hier nachlesen.

Um Ihren Mailserver mit PFS abzusichern, ist es notwendig, dass ihr Mailserver PFS überhaupt unterstützt (das tun noch nicht alle Produkte) und Sie die richtigen Cipher-Suites verwenden.

Bei unserem Mailserver AXIGEN (ab Version 8.2.) funktioniert das in den SSL-Listener-Einstellungen:

cipher
Der zu verwendende Cipher lautet:

ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Sobald der Cipher entsprechend eingetragen wurde, z.B. beim Webmail-Listener, kann die Unterstützung für PFS mit folgendem Kommando geprüft werden:

openssl s_client -connect SERVER:PORT -showcerts -crlf -cipher ECDHE-RSA-RC4-SHA

SERVER und PORT sollten natürlich durch die gewünschten Werte ausgetauscht werden.

Die Ausgabe sieht dann wie folgt aus, dort finden Sie die Bestätigung, dass die korrekten Cipher verwendet werden:

openssl2

3 Kommentare zu “Mails zukunftssicher verschlüsseln mit PFS (Perfect Forward Secrecy)

  1. Guten Abend,
    gibt es einen Grund, warum beim Check über ssl-tools.net PFS und Heartbleed bei Axigen Servern nicht geprüft werden kann, wohingegen es bei anderen Herstellern funktioniert? Beste Grüße Timo

    1. Hallo,

      ich kenne leider die Seite selbst nicht und habe nur kurz draufgesehen.
      Was bedeutet nicht überprüft werden kann? Gibt es irgendeinen Hinweis warum? Ich sehe keinen Grund…

      Grüße,
      Christoph

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>