Mails zukunftssicher verschlüsseln mit PFS (Perfect Forward Secrecy)

Zahlreiche SSL-Sicherheitslücken und nicht zuletzt der NSA-Skandal machen den Einsatz von PFS  unumgänglich. Wie PFS funktioniert, können Sie z.B. hier nachlesen.

Um Ihren Mailserver mit PFS abzusichern, ist es notwendig, dass ihr Mailserver PFS überhaupt unterstützt (das tun noch nicht alle Produkte) und Sie die richtigen Cipher-Suites verwenden.

Bei unserem Mailserver AXIGEN (ab Version 8.2.) funktioniert das in den SSL-Listener-Einstellungen:

cipher
Der zu verwendende Cipher lautet:

ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Sobald der Cipher entsprechend eingetragen wurde, z.B. beim Webmail-Listener, kann die Unterstützung für PFS mit folgendem Kommando geprüft werden:

openssl s_client -connect SERVER:PORT -showcerts -crlf -cipher ECDHE-RSA-RC4-SHA

SERVER und PORT sollten natürlich durch die gewünschten Werte ausgetauscht werden.

Die Ausgabe sieht dann wie folgt aus, dort finden Sie die Bestätigung, dass die korrekten Cipher verwendet werden:

openssl2