Sicherheit SoGo Mailserver

  • Guten Tag,



    ich habe das zur Prüfung weitergeleitet. Mein letzter Wissensstand war der, dass Outlook noch SSL3 benötigt und dieses aus dem Grund aktiviert sein muss. Eventuell hat sich da ja etwas getan. Dann werden wir die weniger sicheren Verschlüsselungstechniken entfernen.



    Mit freundlichen Grüßen


    Felix Preuß

  • Sorry Felix, ich muss da nochmal nachhaken:
    RC4 wird vom Server noch immer angeboten. Wird dies denn nicht als unsicher angesehen?
    Für HTTP über SSLv3 gibt es ja die POODLE attack, weswegen hier keinesfalls mehr SSLv3 eingesetzt werden sollte. Für IMAP und SMTP lässt sich POODLE aber nicht ausnutzen. Outlook benötigt zwar noch SSLv3, jedoch nur über IMAP und SMTP, nicht aber HTTP. Weshalb ist dann immer noch SSLv3 für HTTP aktiviert?


    Eine recht gute Einschätzung für HTTP bietet übrigens der Test von SSL Labs. Leider ist mir ähnliches für andere Protokolle nicht bekannt, da ist Handbarbeit angesagt.

  • Ersteinmal vielen Dank für das Ernstnehmen der Probleme und die Mühe diese auch zu beheben. Allerdings finde ich die aktuelle Lösung noch nicht zufriedenstellend. Ich weiß von einem Mitbewerber, dass dieser bei ismymailsecure.com als 'good' gewertet wird, und ich denke dass man das als Referenz verwenden sollte.


    Nach einem neu überprüfen (ich hatte heute Kontakt mit dem Betreiber, um die Infos zurückzusetzen) werde ich noch immer als 'very weak' eingestuft.

    Code
    1. Key exchange weakness
    2. The server supports the Anonymous Diffie-Hellman key exchange method. This means that the sending server may be able to successfully establish a TLS connection without ever verifying the receiving server's certificate. For this reason, the key exchange has been graded as "weak".