Giter Club home page Giter Club logo

Comments (1)

hardware avatar hardware commented on August 15, 2024

Au niveau du MUA, je peux effectivement renforcer le chiffrement, certains clients un peu anciens pourraient être exclus ne pouvant pas faire la négociation TLS , genre sous Android 2.x ou Outlook 2007.

Par contre côté MTA, c'est compliqué parce qu'il faut prendre en compte l'ensemble des serveurs mail potentiels, à ce niveau il y a un peu de tout et n'importe quoi niveau configuration. Par exemple chez Orange, je sais que leurs serveurs ne supportent pas une annonce via STARTTLS, d'où le fait que Postfix est actuellement configuré en mode "Opportunistic TLS" au lieu de "Mandatory TLS".

Des exemples comme ça il y en a un paquet, l'écosystème mail étant assez exotique, c'est pas évident.

Récemment (2014), il était déconseillé de désactiver le protocole SSLv3, encore pour des raisons de compatibilité, les développeurs de Postfix ayant désactivés ce support par défaut que depuis mi-2015 à cause de POODLE.

Après ce qu'il faut bien comprendre c'est qu'à la base le protocole mail n'a pas été conçu pour être ultra-secure, c'est pour ça qu'une initiative du nom de DarkMail à vu le jour avec la spécification du protocole DIME (Dark Internet Mail Environment) reposant sur un chiffrement de bout en bout.

https://en.wikipedia.org/wiki/Dark_Mail_Alliance

Ce protocole n'est pas encore standardisé mais il le sera peut-être d'ici quelques années.

EDIT : je viens de re-tester la suite :

ALL:!aNULL:!eNULL:!LOW:!MEDIUM:!EXP:!RC2:!RC4:!DES:!3DES:!MD5:!PSK:!SRP:!DSS:!AECDH:!ADH:@STRENGTH

côté MUA via l'outil d'Aeris : https://tls.imirhil.fr/suite

Je la trouve plutôt de bonne facture, j'ai exclu l'ensemble des algos ayant au moins une faille connue (ou ceux qui sont "anonyme" AECDH/ADH), et j'ai modifié l'ordre des ciphers pour privilégier les tailles de clé plus grande via @STRENGTH.

Je pense qu'on a un bon équilibre entre sécurité et compatibilité.

Les deux suites que tu proposes acceptent un chiffrement de type ANONYMOUS ainsi que l'utilisation de DSS :

# AESGCM

ADH-AES256-GCM-SHA384
ADH-AES128-GCM-SHA256
DHE-DSS-AES256-GCM-SHA384
DHE-DSS-AES128-GCM-SHA256

# AES128+EECDH:AES128+EDH

DHE-DSS-AES128-SHA
DHE-DSS-AES128-SHA256
DHE-DSS-AES128-GCM-SHA256

Après je peux toujours ajouter un fichier de configuration avec plusieurs niveaux de sécurité comme on en avait discuté, je prédéfinis certains paramètres et je laisse la possibilité à ceux qui souhaitent modifier la configuration SSL/TLS de le faire via un fichier ini par exemple.

from mailserver.

Related Issues (20)

Recommend Projects

  • React photo React

    A declarative, efficient, and flexible JavaScript library for building user interfaces.

  • Vue.js photo Vue.js

    🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.

  • Typescript photo Typescript

    TypeScript is a superset of JavaScript that compiles to clean JavaScript output.

  • TensorFlow photo TensorFlow

    An Open Source Machine Learning Framework for Everyone

  • Django photo Django

    The Web framework for perfectionists with deadlines.

  • D3 photo D3

    Bring data to life with SVG, Canvas and HTML. 📊📈🎉

Recommend Topics

  • javascript

    JavaScript (JS) is a lightweight interpreted programming language with first-class functions.

  • web

    Some thing interesting about web. New door for the world.

  • server

    A server is a program made to process requests and deliver data to clients.

  • Machine learning

    Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.

  • Game

    Some thing interesting about game, make everyone happy.

Recommend Org

  • Facebook photo Facebook

    We are working to build community through open source technology. NB: members must have two-factor auth.

  • Microsoft photo Microsoft

    Open source projects and samples from Microsoft.

  • Google photo Google

    Google ❤️ Open Source for everyone.

  • D3 photo D3

    Data-Driven Documents codes.