107928
Aug 14, 2013, updated at 08:09:58 (UTC)
5010
6
1
Perfect Forward Secrecy mit Apple Mail einrichten
Server: Debian Wheezy 7.0
Mail-Server: Dovecot Package Version 2.1.7-7
Apple Mail: Version 6.5
In Zusammenhang mit der NSA-Affäre liest man im Internet gerade oft etwas über das Thema "Perfect Forward Secrecy".
Perfect Forward Secrecy (PFS) verhindert, dass eine in der Vergangenheit verschlüsselt aufgezeichnete Kommunikation durch Bekanntwerden des geheimen Schlüssels wieder entschlüsselt werden kann.
Gestern wollte ich es im Zusammenhang mit dem Mail-Server Dovecot und Apple Mail einrichten - was leider nicht auf Anhieb funktioniert.
Apple Mail schickt eine nicht gerade ideale Cipher-Suite Liste an die Gegenstelle / den Server.
Durch eine Modifikation auf dem Server konnte das Problem gelöst werden:
Standard von Dovecot: ssl_cipher_list = ALL:!LOW:!SSLv2:!EXP:!aNULL
Änderung: ssl_cipher_list = DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!SSLv2:!RC4
Ursprünglich umfasst ALL alle Cipher-Suiten, mit der Ausnahme LOW, SSLv2, EXP und aNULL. In der Anpassung werden die möglichen Cipher-Suiten stark eingeschränkt und priorisiert. Bevorzugt wird die Variante DHE-RSA-AES256-SHA – eine Cipher-Suite auf Diffie-Hellman Basis, die Apple Mail ebenfalls unterstützt.
Details zum Tipp: http://www.kuketz-blog.de/perfect-forward-secrecy-mit-apple-mail/
Die E-Mails selbst werden durch TLS/SSL selbstverständlich nicht verschlüsselt, sondern lediglich der Transportweg zwischen Client und Server. Die Verschlüsselung von E-Mails wird in diesem Beitrag erklärt: http://www.kuketz-blog.de/verschluesselte-e-mails-mit-gnupg-als-supergr ...
Perfect Forward Secrecy (PFS) verhindert, dass eine in der Vergangenheit verschlüsselt aufgezeichnete Kommunikation durch Bekanntwerden des geheimen Schlüssels wieder entschlüsselt werden kann.
Gestern wollte ich es im Zusammenhang mit dem Mail-Server Dovecot und Apple Mail einrichten - was leider nicht auf Anhieb funktioniert.
Apple Mail schickt eine nicht gerade ideale Cipher-Suite Liste an die Gegenstelle / den Server.
Durch eine Modifikation auf dem Server konnte das Problem gelöst werden:
Standard von Dovecot: ssl_cipher_list = ALL:!LOW:!SSLv2:!EXP:!aNULL
Änderung: ssl_cipher_list = DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!SSLv2:!RC4
Ursprünglich umfasst ALL alle Cipher-Suiten, mit der Ausnahme LOW, SSLv2, EXP und aNULL. In der Anpassung werden die möglichen Cipher-Suiten stark eingeschränkt und priorisiert. Bevorzugt wird die Variante DHE-RSA-AES256-SHA – eine Cipher-Suite auf Diffie-Hellman Basis, die Apple Mail ebenfalls unterstützt.
Details zum Tipp: http://www.kuketz-blog.de/perfect-forward-secrecy-mit-apple-mail/
Die E-Mails selbst werden durch TLS/SSL selbstverständlich nicht verschlüsselt, sondern lediglich der Transportweg zwischen Client und Server. Die Verschlüsselung von E-Mails wird in diesem Beitrag erklärt: http://www.kuketz-blog.de/verschluesselte-e-mails-mit-gnupg-als-supergr ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 214267
Url: https://administrator.de/contentid/214267
Printed on: May 6, 2024 at 17:05 o'clock
6 Comments
Latest comment
Hallo Mike,
das ist ja alles schön und gut, aber du solltest doch erwähnen das damit nur der Transportweg verschlüsselt ist und noch immer nicht die E-Mail selber.
Da hilft nur Ende-Ende Verschlüsselung, angefangen im Apple Mail/Outlook/Thunderbird selber.
Und die beschreibt du ja auch gut: Verschlüsselte E-Mails mit GnuPG als Supergrundrecht
VG
Deepsys
das ist ja alles schön und gut, aber du solltest doch erwähnen das damit nur der Transportweg verschlüsselt ist und noch immer nicht die E-Mail selber.
Da hilft nur Ende-Ende Verschlüsselung, angefangen im Apple Mail/Outlook/Thunderbird selber.
Und die beschreibt du ja auch gut: Verschlüsselte E-Mails mit GnuPG als Supergrundrecht
VG
Deepsys
1
Danke für den Hinweis Deepsys! 
Werde ich noch ergänzen.
Werde ich noch ergänzen.
Ideale Ergänzung für den kleinen Mini Mailserver zuhause
http://www.heise.de/ct/inhalt/2013/17/164/
um eben nicht die Emails unverschlüsselt bei den Providern liegen zu lassen....
http://www.heise.de/ct/inhalt/2013/17/164/
um eben nicht die Emails unverschlüsselt bei den Providern liegen zu lassen....
2
Hallo,
Gruß
Dobby
um eben nicht die Emails unverschlüsselt bei den Providern liegen zu lassen....
Das ist aber seit iMAP viel mehr im betrieb ist bei fast allen so!Gruß
Dobby
...das ist ja grad das Böse. Mit einem kleinen Mailserver muss das dann nicht sein 
Zitat von @108012:
Das ist aber seit iMAP viel mehr im betrieb ist bei fast allen so!
Das ist aber seit iMAP viel mehr im betrieb ist bei fast allen so!
Irgendwann musste ja irgendwer kommen und das "I" in "IMAP" klein schreiben...
2