Merge branch 'master' of https://git.bettercrypto.org/ach-master
authorWolfgang Breyha <wolfgang.breyha@univie.ac.at>
Tue, 19 Nov 2013 23:51:03 +0000 (00:51 +0100)
committerWolfgang Breyha <wolfgang.breyha@univie.ac.at>
Tue, 19 Nov 2013 23:51:03 +0000 (00:51 +0100)
1  2 
src/practical_settings.tex

@@@ -273,42 -273,6 +273,42 @@@ Another option to secure IMAPs servers 
  % options = CIPHER_SERVER_PREFERENCE
  % TIMEOUTclose = 1
  
 +\subsubsection{SMTP in general}
 +
 +SMTP usually uses opportunistic TLS. This means that an MTA will accept TLS connections when asked for it during handshake but will not require it. One should always support incoming opportunistic TLS and always try TLS handshake outgoing.\\
 +
 +Furthermore a mailserver can operate in three modes:
 +\begin{itemize}
 +\item As MSA (Mail Submission Agent) your mailserver receives mail from your clients MUAs (Mail User Agent).
 +\item As receiving MTA (Mail Transmission Agent, MX)
 +\item As sending MTA (SMTP client)
 +\end{itemize}
 +\mbox{}\\
 +We recommend the following basic setup for all modes:
 +\begin{itemize}
 +\item correctly setup MX, A and PTR RRs without using CNAMEs at all.
 +\item enable encryption (opportunistic TLS)
 +\item do not use self signed certificates
 +\end{itemize}
 +
 +For SMTP client mode we additionally recommend:
 +\begin{itemize}
 +\item the hostname used as HELO must match the PTR RR
 +\item setup a client certificate (most server certificates are client certificates as well)
 +\item either the common name or at least an alternate subject name of your certificate must match the PTR RR
 +\item do not modify the cipher suite for client mode
 +\end{itemize}
 +
 +For MSA operation we recommend:
 +\begin{itemize}
 +\item listen on submission port 587
 +\item enforce SMTP AUTH even for local networks
 +\item do not allow SMTP AUTH on unencrypted connections
 +\item optionally use the recommended cipher suites if (and only if) all your connecting MUAs support them
 +\end{itemize}
 +
 +
 +
  \subsubsection{Postfix}
  
  
@@@ -367,14 -331,6 +367,14 @@@ $ zegrep "TLS connection established fr
      335 TLSv1 with cipher DHE-RSA-AES256-SHA
  \end{lstlisting}
  
 +To use outgoing opportunistic TLS in postfix
 +
 +\begin{lstlisting}[breaklines]
 +    smtp_tls_note_starttls_offer = yes¬
 +    smtp_tls_security_level = may¬
 +\end{lstlisting}
 +
 +
  Source: \url{http://www.postfix.org/TLS_README.html}
  
  \paragraph*{Limitations}\mbox{}\\
@@@ -386,7 -342,6 +386,7 @@@ be ignored
  tls\_preempt\_cipherlist is supported from Postfix 2.8 onwards. Again,
  you can leave the statement in for older versions.
  
 +
  \subsubsection{Exim (based on 4.82)}
  
  It is highly recommended to read
@@@ -498,6 -453,20 +498,6 @@@ Exim currently (4.82) does not support 
  There already is a working patch to provide support:\\
  \url{http://bugs.exim.org/show_bug.cgi?id=1397}
  
 -\subsubsection{SMTP: opportunistic TLS}
 -
 -\todo{write this subsubsection}
 -
 -Opportunistic TLS means that an MTA will accept TLS connections when asked for it durgin handshake but will not require it. One should always support incoming opportunistic TLS and alwas try TLS handshake outgoing.
 -
 -
 -To use outgoing opportunistic TLS in postfix
 -
 -\begin{lstlisting}[breaklines]
 -    smtp_tls_note_starttls_offer = yes¬
 -    smtp_tls_security_level = may¬
 -\end{lstlisting}
 -
  
  % do we need to documment starttls in detail?
  %\subsubsection{starttls?}
@@@ -608,21 -577,21 +608,21 @@@ Lifetime: \todo{need recommendations; 1
  
  \paragraph{Fine tuning at installation level}
  
- When installing an OpenVPN server instance, you are probably using \it{easy-rsa} tools to generate the crypto stuff needed.
- From the directory where you will run them, you can enhanced you configuration by changing the following variables in \it{Vars}
+ When installing an OpenVPN server instance, you are probably using {\it easy-rsa} tools to generate the crypto stuff needed.
+ From the directory where you will run them, you can enhance you configuration by changing the following variables in {\it Vars}
  
  \begin{lstlisting}[breaklines]
  export KEY_SIZE=2048 
  \end{lstlisting}
  
- This will enhanced the security of the key exchange steps by using RSA keys with a length of 2048 bits.
+ This will enhance the security of the key exchange steps by using RSA keys with a length of 2048 bits.
  
  \todo{Shouldn't we need to reduce CA and certificate lifetime?  Per default 10y!!}
  
  
  \paragraph{Server Configuration}
  
- \todo{To wrote - locked by David}
+ \todo{To write - locked by David}
  
  \begin{lstlisting}[breaklines]
  cipher AES-128-CBC   # AES
  
  \paragraph{Client Configuration}
  
- \todo{To wrote - locked by David}
+ \todo{To write - locked by David}
  
  \begin{lstlisting}[breaklines]
  Hello World!