Merge branch 'master' of https://git.bettercrypto.org/ach-master
authorAaron Kaplan <aaron@lo-res.org>
Fri, 22 Nov 2013 18:56:22 +0000 (19:56 +0100)
committerAaron Kaplan <aaron@lo-res.org>
Fri, 22 Nov 2013 18:56:22 +0000 (19:56 +0100)
1  2 
src/practical_settings.tex

@@@ -209,7 -209,7 +209,7 @@@ tested using https://www.ssllabs.com
  
  Table~\ref{tab:MS_IIS_Client_Support} shows the algoriths from
  strongest to weakest and why they need to be added in this order. For
 -example insiting on SHA-2 algorithms (only first two lines) would
 +example insisting on SHA-2 algorithms (only first two lines) would
  eliminate all versions of Firefox, so the last line is needed to
  support this browser, but should be placed at the bottom, so capable
  browsers will choose the stronger SHA-2 algorithms.
@@@ -381,7 -381,14 +381,14 @@@ mode, because the alternative is plain 
  
  \subsubsection{Postfix}
  
- \todo{cm: document DANE}
+ \begin{description}
+ \item[Tested with Version:] \mbox{}
+ \begin{itemize}
+ \item Postfix 2.9.6 (Debian Wheezy)
+ \end{itemize}
+ \item[Settings:] \mbox{}
  
  First, you need to generate Diffie Hellman parameters (please first take a look at the section \ref{section:PRNG}):
  
@@@ -402,9 -409,7 +409,7 @@@ Next, we specify these DH parameters i
  
  As discussed above, because of opportunistic encryption we do not
  restrict the list of ciphers. There's still some steps needed to
- enable TLS, all in \verb|main.cf| \footnote{Refer to
-   \url{http://www.postfix.org/TLS_README.html} for an in-depth
-   discussion.}:
+ enable TLS, all in \verb|main.cf|:
  
  \begin{lstlisting}[breaklines]
    smtpd_tls_cert_file = /etc/postfix/server.pem
@@@ -429,7 -434,7 +434,7 @@@ acceptable for the ``mandatory'' securi
  \begin{lstlisting}[breaklines]
    smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
    smtpd_tls_mandatory_ciphers=high
-   tls_high_cipherlist='EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EDH+CAMELLIA256:EECDH:EDH+aRSA:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED:!AES128:!CAMELLIA128:!ECDSA:AES256-SHA'
+   tls_high_cipherlist=EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EDH+CAMELLIA256:EECDH:EDH+aRSA:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED:!AES128:!CAMELLIA128:!ECDSA:AES256-SHA
  \end{lstlisting}
  
  Then, we configure the MSA smtpd in \verb|master.cf| with two
@@@ -445,7 -450,29 +450,29 @@@ For those users who want to use ECC ke
    smtpd_tls_eecdh_grade = ultra
  \end{lstlisting}
  
- You can check the settings with the following command:
+ \item[Limitations:] \mbox{}
+ tls\_ssl\_options is supported from Postfix 2.11 onwards. You can
+ leave the statement in the configuration for older versions, it will
+ be ignored.
+ tls\_preempt\_cipherlist is supported from Postfix 2.8 onwards. Again,
+ you can leave the statement in for older versions.
+ \item[References:]
+ Refer to \url{http://www.postfix.org/TLS_README.html} for an in-depth
+ discussion.
+ % \item[Additional settings:]
+ % no additional settings
+ % \item[Justification for special settings (if needed):]
+ % no special settings
+ \item[How to test:]
+ You can check the effect of the settings with the following command:
  \begin{lstlisting}[breaklines]
  $ zegrep "TLS connection established from.*with cipher" | /var/log/mail.log | awk '{printf("%s %s %s %s\n", $12, $13, $14, $15)}' | sort | uniq -c | sort -n
        1 SSLv3 with cipher DHE-RSA-AES256-SHA
      335 TLSv1 with cipher DHE-RSA-AES256-SHA
  \end{lstlisting}
  
- \paragraph*{Limitations}\mbox{}\\
- tls\_ssl\_options is supported from Postfix 2.11 onwards. You can
- leave the statement in the configuration for older versions, it will
- be ignored.
- tls\_preempt\_cipherlist is supported from Postfix 2.8 onwards. Again,
- you can leave the statement in for older versions.
+ \end{description}
  
  \subsubsection{Exim (based on 4.82)}