我正在运行一个进出口银行MTA 只接收来自我控制下的其他几个系统的电子邮件。所有这些系统都愉快地与我的 MTA 协商 TLSv1.2/TLSv1.3。我想禁用对 TLSv1.0 和 TLSv1.1 的支持,但我找不到有关如何执行此操作的说明。
所有软件均从官方 Debian 10 存储库(Exim 4.92、GnuTLS 3.6.6)安装。
答案1
将以下行添加到此文件中的/etc/exim4/exim4.conf.template某个位置,例如 TLS 部分(或如所述这里):
tls_require_ciphers = SECURE192:!VERS-SSL3.0:!VERS-TLS1.0:!VERS-TLS1.1:!VERS-DTLS0.9:!VERS-DTLS1.0
使用 重新启动/重新加载 exim
sudo systemctl restart exim4。验证使用 更新的 exim 设置
sudo exim -bP | grep tls_require_ciphers。
有关 tls_require_ciphers 的更多内容,请参阅这里。
答案2
tls_require_ciphers请参阅有关使用和 GnuTLS 优先级字符串定义的部分。与您相关的示例是:
tls_require_ciphers = NORMAL:%LATEST_RECORD_VERSION:-VERS-SSL3.0
...您可以进一步调整以满足您自己的要求。
答案3
将这样的行添加到配置文件中。编辑它以获取所需和不需要的密码。
# We need to disable SSL2 and key lengths < 128 bits for PCI compliance
tls_require_ciphers = ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+SHA:!MD5:!LOW:!SSLv2:!EXP:!DES