Disabling SSLv3 in Postfix

Dark Knight Poodle
Some rights reserved by greg westfall.

The POODLE attack was made public late 2014 and as most vendors have taken action to solve possible issues related to POODLE. The time definitely has come to close SSLv3 in all parts of public facing infrastructure. By default Postfix still only disallows SSLv2 and hopefully this will change in the form of stricter default behaviour in Postfix or distributions/vendors that stop shipping SSLv3 libraries.

For now you can set with the postconf command restrictions which protocols shouldn’t be used by Postfix.

$ sudo postconf -e smtpd_tls_mandatory_protocols=\!SSLv2,\!SSLv3
$ sudo postconf -e smtpd_tls_protocols=\!SSLv2,\!SSLv3
$ sudo postconf -e smtp_tls_mandatory_protocols=\!SSLv2,\!SSLv3
$ sudo postconf -e smtp_tls_protocols=\!SSLv2,\!SSLv3

As this is a change to /etc/postfix/main.cf Postfix can be reloaded to reread the configuration, but it may be smarter to just restart Postfix to make it effective for all connection from the moment Postfix restarts.

$ sudo systemctl restart postfix.service

All encrypted sessions Postfix allows will require TLSv1+. The next step will be to disable the RC4 cipher suite, but will do that in another posting.

IPv6 voor mailverkeer

Afgelopen woensdag was het World IPv6 Day en in navolging daarvan werden een aantal maildomeinen voorzien een AAAA-record in DNS naast het gebruikelijke A-records. Hiermee wordt zowel een IPv6 als IPv4 adres geadverteerd om mail op af te leveren. Als eerste zijn de spamtrap-domeinen om gegaan afgelopen woensdag en afgelopen zaterdag zijn enkele andere kleine domeinen omgezet. Nu de time-to-live op de oude records is verlopen komt vandaag langzaam de e-mailstroom over IPv6 op gang.

Voorlopig lijken spammers IPv6 links te laten liggen, maar hoe lang dat zo zal blijven is de vraag. Hiermee komt ook gelijk de vraag of een DNSBL voor mail over IPv6 opzetten nog wel zinvol is. Een computer met IPv6 Privacy Extensions enabled wisselt om de zoveel uur van IPv6-adres en zou dus eigenlijk eigenlijk afdwingen om op network-niveau te gaan blacklisten en misschien ook wel om te gaan whitelisten en greylisten. Hiermee komt eigenlijk ook de vraag hoe valide Spamhaus nog is en wat voor impact dit gaat hebben op de Bayesian filtering opstelling die nu zijn werk doet.

Vaarwel, port 465

Hoewel de weg al in 1998 was ingezet met RFC2476 om mail te kunnen injecteren via een aparte poort, maar helaas kwam in 1999 ook RFC2487. Deze laatste RFC ging over SMTP over SSL, maar heeft nooit echt een vlucht genomen gelukkig. Sommige mensen zien het wel als een alternatief voor de mail submission oplossing en andere zien het als oplossing om SMTP over SSL te versturen.

Gelukkig heeft TLS sindsdien een vlucht genomen en kan tegenwoordig TLS worden gebruikt voor zowel SMTP-verbindingen als voor Submission-verbindingen. Door de splitsing van server-to-server verkeer over poort 25 en client-to-server verkeer over poort 587 is er een verduidelijking gekomen in de soorten verkeer. TLS afdwingen op client-to-server verkeer is een mogelijkheid geworden en worden username/password combinaties afgeschermd. Het nut van SMTP over SSL is dus verdwenen, maar hoe faseer je het uit?

Je kan gewoon uitzetten in Postfix door het bestand master.cf aan te passen, zodat de regels voor smtps niet meer actief zijn. Simpeler is het gelukkig niet, maar de kans bestaat dat sommige verbindingen ineens stoppen met werken. Helaas is het in logfiles niet te herleiden of er verbindingen over poort 465 lopen ipv poort 25 of 587.

Op platformen zoals Linux, BSD en Solaris zijn packetfilters beschikbaar en kan met behulp van een paar simpele regels toch informatie worden verkregen. Zoals de onderstaande regel voor Netfilter.

iptables -A INPUT_ETH0 -d 192.0.2.1 -p tcp \
--sport 1024:65535 --dport 465 \
-j LOG --log-level DEBUG --log-prefix "SERVICE MONITORING: "

Voor elke verbinding naar de server zal melding worden gemaakt door de kernel naar syslog en deze zijn hierna terug te lezen in bv /var/log/syslog. Door deze opstelling een paar maanden te volgen kan je bepalen of er echt geen verbindingen meer zijn.