On 13.03.2024 at 12:28 L. Mark Stone via mailop wrote: > FWIW, our view is that poor encryption can be worse than no encryption, as it > can give the participants a false sense of security. This seems like a good > move to us. > We have configured Postfix in our Zimbra MTA servers to do only TLS 1.2/1.3, > and fall back to unencrypted if a TLS connection can't be negotiated (per RFC > 2487).
As long as STARTTLS is not enforced, I recommend against disabling TLS 1.0 and 1.1 on MX hosts. It does not improve, but actually worsens security. Sending MTAs with a modern crypto stack do not benefit from disabling TLS 1.0 and 1.1 on the receiving MTA. They use TLS 1.2 or 1.3 either way and I know of no downgrade attack to force them to use a lower protocol version. Sending MTAs which do not support modern crypto on the other hand are going to fall back to a unencrypted connection as soon as you disable older cipher suites. This allows any, even passive MITM to read and/or modify the messages. A claim that TLS 1.0 or 1.1 would be equally unsafe as completely unencrypted communications is a cliche and not based on facts. -- BR Oliver ________________________________ dmTECH GmbH Am dm-Platz 1, 76227 Karlsruhe * Postfach 10 02 34, 76232 Karlsruhe Telefon 0721 5592-2500 Telefax 0721 5592-2777 dmt...@dm.de<mailto:dmt...@dm.de> * www.dmTECH.de<http://www.dmtech.de> GmbH: Sitz Karlsruhe, Registergericht Mannheim, HRB 104927 Geschäftsführer: Christoph Werner, Martin Dallmeier, Roman Melcher ________________________________ Datenschutzrechtliche Informationen Wenn Sie mit uns in Kontakt treten, beispielsweise wenn Sie an unser ServiceCenter Fragen haben, bei uns einkaufen oder unser dialogicum in Karlsruhe besuchen, mit uns in einer geschäftlichen Verbindung stehen oder sich bei uns bewerben, verarbeiten wir personenbezogene Daten. Informationen unter anderem zu den konkreten Datenverarbeitungen, Löschfristen, Ihren Rechten sowie die Kontaktdaten unserer Datenschutzbeauftragten finden Sie hier<https://www.dm.de/datenschutzerklaerung-kommunikation-mit-externen-493832>. _______________________________________________ mailop mailing list mailop@mailop.org https://list.mailop.org/listinfo/mailop