Postfix mit DNSSEC und DANE

Mittwoch, 27. August 2014 17:14 | Autor:

Für ein Firmenprojekt habe ich mir diese Woche die, doch recht neue, DANE Authentifizierung für Postfix angeschaut und im Endeffekt auf meinem Privaten Mailserver auch erfolgreich implementiert.

Hilfreich hierbei war ein Artikel in der Ct 18/2014.

Ich habe, auch wenn’s nicht mehr nötig ist, trotzdem ein Zertifikat von RapidSSL zur Authentifizierung genommen. Man kann aber nun auch, denn das ist der Sinn hinter DANE, ein selbst ausgestelltes Zertifikat nehmen.

Um Postfix entsprechend vorzubereiten muss man zuerst zwei SSL Keys erstellen die für den Diffie-Hellman Schlüsselaustausch zuständig sind:

openssl gendh -out /etc/ssl/dh_512.pem -2 512

openssl gendh -out /etc/ssl/dh_1024.pem -2 1024

Danach setzt man diese, inklusive der anderen TLS relevanten Einträge in die main.cf. Bei mir sieht das etwa so aus:

smtpd_tls_dh1024_param_file = /etc/ssl/certs/own/dh_1024.pem
smtpd_tls_dh512_param_file = /etc/ssl/certs/own/dh_512.pem
smtpd_tls_eecdh_grade = strong
smtpd_tls_mandatory_protocols = !SSLv2
smtpd_tls_mandatory_ciphers = high
tls_preempt_cipherlist = yes
tls_high_cipherlist=EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA
+AESGCM:EECDH+aRSA+SHA384:EECDH
+aRSA+SHA256:EECDH:+CAMELLIA256:
+AES256:+CAMELLIA128:+AES128:+SSLv3:
!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:
!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA$

tls_ssl_options = NO_COMPRESSION

smtp_dns_support_level = dnssec
smtp_tls_security_level = dane

Die mit „!“ gekennzeichneten Einträge sind schwache Chiffren die entsprechend gemieden werden sollen.

Danach ist es essentiell den TLSA Record für den MX in der Zone zu hinterlegen. Dieser benötigt einen Schlüssel der aus dem unterschriebenen Zertifikat gewonnen wird:

openssl x509 -in „/pfad/zum/mailserver/zertifikat.crt“ -outform DER | openssl sha256

Die Ausgabe dieses Aufrufs entspricht dem Schlüssel der im TLSA Record publiziert wird. Der TLSA Record (sofern der Nameserver diese unterstützt) sieht dann wie folgt aus:

_25._tcp.mailserver.example.com IN TLSA 3 0 1 (0A6516792D75BC815D5BE03CC3AD482030AD2FB73DE4F8CB93F3B98D)

_587._tcp.mailserver.example.com IN TLSA 3 0 1 (0A6516792D75BC815D5BE03CC3AD482030AD2FB73DE4F8CB93F3B98D)

Der Eintrag setzt sich zusammen aus Port (_25), Protokoll (_tcp) und MX bzw. CN auf den das Zertifikat ausgestellt wurde.

Das ganze ist natürlich ohne DNSSEC wirkungslos bzw. funktioniert nur halb. Daher muss die Domain (root) per DNSSEC signiert sein. Bestenfalls macht man das über seinen Anbieter. Falls man dies aber über seinen eigenen Nameserver realisieren möchte, hilft folgender Aufruf:

pdnssec secure-zone example.com

Dies erzeugt den entsprechenden DNSKEY und die DS records. Mit einem

pdnssec show-zone example.com

bekommt man den erzeugten Record zu Gesicht. Diesen trägt man dann in die Zone der Domain ein und hinterlegt den Key / die DS Records bei der entsprechenden Registry. Dies sollte über den jeweiligen Registrar funktionieren, sofern dieser bereits DNSSEC anbietet.

Um die DNSSEC signierten Zonen zu aktivieren, sollte man noch ein:

pdnssec rectify-zone example.com

absetzen.

Die richtigkeit der DNSSEC verifizierten Zone kann man über die Seite „http://dnssec-debugger.verisignlabs.com/“ testen.

Ob der Postfix im Endeffekt korrekt DANE verifiziert, testet man mit folgendem Aufruf:

posttls-finger -t30 -T180 -c -L verbose,summary example.com

Die Ausgabe, mit korrekt arbeitendem DANE und DNSSEC sieht dann wie folt aus. Hier am Beispiel dynni.com:

posttls-finger -t30 -T180 -c -L verbose,summary dynni.com
posttls-finger: initializing the client-side TLS engine
posttls-finger: using DANE RR: _25._tcp.mail.dynni.com IN TLSA 3 0 1 0A:65:16:79:2D:75:BC:81:5D:5B:E0:3C:C3:A5:48:20:30:AD:2F:B7:3D:E4:D8:CB:93:F3:B9:8E:5B:5A:A0:8D
posttls-finger: setting up TLS connection to mail.dynni.com[109.234.106.13]:25
posttls-finger: mail.dynni.com[109.234.106.13]:25: TLS cipher list „aNULL:-aNULL:ALL:!EXPORT:!LOW:+RC4:@STRENGTH:!aNULL“
posttls-finger: mail.dynni.com[109.234.106.13]:25: depth=2 verify=0 subject=/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
posttls-finger: mail.dynni.com[109.234.106.13]:25: depth=2 verify=0 subject=/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
posttls-finger: mail.dynni.com[109.234.106.13]:25: depth=1 verify=1 subject=/C=US/O=GeoTrust, Inc./CN=RapidSSL CA
posttls-finger: mail.dynni.com[109.234.106.13]:25: depth=0 verify=1 subject=/serialNumber=a2SpY1ksFbMS8UQgQCORNkX0nhBveWZQ/OU=GT93663607/OU=See www.rapidssl.com/resources/cps (c)14/OU=Domain Control Validated – RapidSSL(R)/CN=*.dynni.com
posttls-finger: mail.dynni.com[109.234.106.13]:25: depth=0 matched end entity certificate sha256 digest 0A:65:16:79:2D:75:BC:81:5D:5B:E0:3C:C3:A5:48:20:30:AD:2F:B7:3D:E4:D8:CB:93:F3:B9:8E:5B:5A:A0:8D
posttls-finger: mail.dynni.com[109.234.106.13]:25: subject_CN=*.dynni.com, issuer_CN=RapidSSL CA, fingerprint=93:CE:17:D8:35:8A:DA:87:DD:EA:FC:2C:15:4B:3F:11:C3:62:70:BB, pkey_fingerprint=0C:04:E7:E9:3D:BE:04:BC:B5:B6:77:25:F0:85:87:4C:E2:9C:32:D4
posttls-finger: Verified TLS connection established to mail.dynni.com[109.234.106.13]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

 

 

Thema: Allgemein | Kommentare (0)

Walkera QR x350pro crashed at return to home

Montag, 30. Juni 2014 23:15 | Autor:

First flight of my brand new Walkera QR x350pro. All went well until i´ve chosen to use the „return to home“ for landing.

I guess the GPS thought it is on the ground already. Anyway, the Walkera crashed from about 2m into the ground. One Prop died and it had an scratch, but it still works.

 

Thema: Allgemein | Kommentare (0)

Valar Morghulis oder Brienne of Tarth vs. The Hound

Montag, 16. Juni 2014 23:57 | Autor:

Staffel 4 von Game of Thrones ist für mich gerade zu Ende gegangen und ich muss sagen: „Oh my fucking god“! all hail to Brienne of Tarth.

Wobei ich doch ein wenig traurig über das Ende von meinem Lieblingscharakter „Sandor (The Hound) Clegane“ bin, welcher in einem bisher nie da gewesenen Kampf von eben genannter Brienne besiegt wird. Ob er wirklich tot ist, ist nicht ganz klar da Arya ihn letztendlich zurücklässt, aber es ging ihm doch schon ziemlich kacke.

Staffel 4 ist für mich bisher nicht das Highlight, da sehr viele Kleinigkeiten ausgelassen wurden und man sich an speziellen Themen zu sehr ausgelassen hat. So wurde Tyrions Prozess zu sehr und die Schlacht um die Schwarze Feste zu „lasch“ behandelt.

Staffel 4 steht den anderen Staffeln aber in nichts nach und man hält sich weiterhin ziemlich eng an die Bücher, wenngleich auch der ein oder andere Tod zu brutal dargestellt wurde.

Der Schluss der Staffel lässt wie immer zu viele Fragen offen, hat aber keinen zu brutalen Cliffhanger, man kann also ganz entspannt auf nächstes Jahr warten.

Valar Morghulis Bitches!

 

 

Thema: Allgemein | Kommentare (0)

Battlefield Hardline (beta) -Test-

Dienstag, 10. Juni 2014 21:01 | Autor:

Der neuste Battlefield Ableger ist seit gestern Abend (CEST) in Deutschland als closed beta verfügbar. Ich war einer der glücklichen die einen beta Zugang erhalten haben und hab´s heute natürlich direkt angetestet.

Die Story ist schnell erklärt, denn prinzipiell ist es schlicht ne Mischung aus Battlefield 4 und Payday. Vom Feeling her ist es Battlefield absolut ebenbürtig, allerdings bietet es meiner Meinung nach wesentlich mehr Spass als Battlefield, vielleicht auch, weil Battlefield doch etwas eingefahren ist, was das Gameplay angeht.

Die Beta läuft überraschend Bugfrei, hier und da einige Soundbugs oder imbalance Problemchen, jedoch nix über was man sich jetzt übersteuert aufregen müsste. Es gibt in der Beta bisher nur eine Karte und zwei Modi aber die gehn schon ziemlich nach vorne. Ich bin bisher sehr angetan und kann´s jedem der Battlefield mochte, es aber zu langweilig wurde, ans Herz legen!

 

Thema: Allgemein | Kommentare (0)

Synology DS414slim -Test-

Dienstag, 10. Juni 2014 9:51 | Autor:

Ich habe die Synology DS414slim an einem Freitag erhalten und konnte sie bisher 1 Woche ausgiebig testen. Hervozuheben sind auf jeden Fall der geringe Preis und die wirklich sehr handliche Größe von 120 mm X 105 mm X 142 mm

(Vergleich standard XBOX Controller)

 

Foto

Die Performance ist, soweit ich das durch den kurzen Test beurteilen kann, durchaus akzeptabel, man kann sie ungefähr mit der Performance der DS713+ vergleichen. Die DS414slim kann alles was ihre großen Brüder auch können und steht großen Modellen dadurch in nichts nach.

Ein Manko jedoch ist der viel zu laute Lüfter. Zugegeben, man hört den Lüfter nur wenn die Station unter Last arbeitet, dann jedoch sehr deutlich! Den Lüfter einer DS713+ oder einer DS1813+ hört man weniger deutlich. Wahrscheinlich ist dies der kleineren Bauart geschuldet, wodurch der Lüfter natürlich kleiner ausfällt und in der Frequenz höher liegt.

Trotzdem ist die DS414slim eine sehr gute Ergänzung fürs Büro und sehr zu empfehlen!

Direktlink zur DS414slim

 

Thema: Allgemein | Kommentare (0)