Sendmail 8.15.2 glänzt mit Session-basierten TLS-Features

Veröffentlicht: Donnerstag, 09. Juli 2015 13:20

Am 3. Juli wurde Sendmail 8.15.2 veröffentlicht.

Der heimliche Star unter den Neuheiten ist das Feature 'tls_session_features', welches für TLS die Möglichkeit eröffnet, Optionen (z. B. das Abschalten best. Protokolle), Cipher Lists und Zertifikate/Keys in Abhängigkeit der Gegenstelle zu setzen.

Für den Einsatz von 'tls_session_features' muss Sendmail mit '_FFR_TLS_SE_OPTS' kompiliert werden:

[root@popc ~]# sendmail -d0.14
Version 8.15.2
[...]
FFR Defines: _FFR_TLS_EC _FFR_TLS_SE_OPTS

Mit der Konfiguration in sendmail.mc:

FEATURE(`tls_session_features')dnl

werden die Rulesets 'tls_srv_features' und 'tls_clt_features' in sendmail.cf aktiviert. Die Konfiguration erfolgt bequem in der Access-DB, z.B. wenn die Kommunikation seit dem letzten OpenSSL-Update aufgrund zu kurzer Diffie-Hellmann-Primzahlen mit einem bestimmten Server mit DHE-Ciphern nicht möglich ist (In vorherigen Versionen gab es, sofern sich der Server für einen DHE-Cipher entschied, nur die Möglichkeit, keine Mails mehr oder, weil es die meisten MTAs zulassen, unverschlüsselt zu versenden.):

TLS_Clt_features:10.2.2.2            Cipherlist=HIGH:MEDIUM:!aNULL:!eNULL:!DH

Ab Loglevel 14 lässt sich der Effekt gut beobachten:

Jul 10 17:41:03 popc sendmail[7302]: STARTTLS=client, init=1
Jul 10 17:41:03 popc sendmail[7302]: STARTTLS=client, start=ok
Jul 10 17:41:03 popc sendmail[7302]: tls_clt_features=Cipherlist=HIGH:MEDIUM:!aNULL:!eNULL:!DH, relay=test.sendmaid.org [10.2.2.2]
Jul 10 17:41:03 popc sendmail[7302]: tls_clt_features=parsed, Cipherlist=HIGH:MEDIUM:!aNULL:!eNULL:!DH, relay=test.sendmaid.org [10.2.2.2]
[...]
Jul 10 17:41:03 popc sendmail[7302]: STARTTLS=client, relay=test.sendmaid.org., version=TLSv1.2, verify=FAIL, cipher=AES256-GCM-SHA384, bits=256/256

Offizielle Erweiterungen aus den Release Notes

Darüber hinaus enthält die Version einige Bugfixes im Bereich IPv6 und verbessert auch das Handling mit IPv6-Adressen, indem die Wahl zwischen unkomprimierten (IPv6:0:0:0:0:0:0:0:1) und komprimierten (IPV6:::1) IPv6-Adressen nicht mehr zur Kompilierzeit fällt, sondern bei der Konfiguration getroffen werden kann. Default ist, wie in 8.15.1 eingeführt, 'IPV6_FULL', die neue Option 'UseCompressedIPv6Addresses' schaltet auf komprimierte Adressen um, sendmail.mc:

define(`confUSE_COMPRESSED_IPV6_ADDRESSES', `1')dnl

Ebenfalls neu in dieser Version ist eine 2048-Bit Primzahl, die jetzt standardmäßig als Grundlage für die Diffie-Hellman-Gruppe verwendet wird. Die Sendmail-Entwickler reagieren damit auf den bekannt gewordenen Logjam-Angriff. Der vorherige Default waren DH-Parameter auf Basis einer 1024-Bit Primzahl, die Verwendung von 2048-Bit war dabei, abhängig von der OpenSSL-Version, schon immer möglich.

Referenzen: 

1. ../sendmail-8.15.2/RELEASE_NOTES

2. ../sendmail-8.15.2/cf/README