Dovecot 更新到版本 2.3.8 并开始显示此警告。我不知道这意味着什么以及如何摆脱它。使用 CentOS 8。
日志文件有这样的:
Jun 30 16:28:42 bluesky.bluesky.com systemd[1]: Started Dovecot IMAP/POP3 email server.
Jun 30 16:28:42 bluesky.bluesky.com dovecot[972224]: doveconf: Warning: NOTE: You can get a new clean config file with: doveconf -Pn > dovecot-new.conf
Jun 30 16:28:42 bluesky.bluesky.com dovecot[972224]: doveconf: Warning: Obsolete setting in /etc/dovecot/conf.d/10-ssl.conf:60: ssl_protocols has been replaced by ssl_min_protocol
答案1
软件作者有时会改变其产品的配置方式。在这种情况下,Dovecot 的作者ssl_protocols用一个新选项替换了配置选项ssl_min_protocol。此处记录了这一点:https://wiki2.dovecot.org/Upgrading/2.3
此警告告诉您,您自己的配置仍在使用ssl_protocols配置文件/etc/dovecot/conf.d/10-ssl.conf第 60 行中的旧选项。更准确地说,它意味着该配置文件的第 60 行现在什么也不做你应该考虑修复它。
如何解决此问题的概述
SSL 用于加密与 Dovecot 服务器的 POP3 和 IMAP 通信。一些旧版本的 SSL 和 TLS 存在严重的安全问题(看这里)。旧ssl_protocols选项和新选项的目的ssl_min_protocol都是为了防止 Dovecot 被欺骗使用旧的和不安全版本的 SSL。
默认值TLSv1表示 TLS v 1.0。这并不可怕,因为几乎每个客户都支持它。如果提高最小值,理论上可能会使其更安全,但理论上会阻止旧电子邮件客户端连接。
目前(2020 年 6 月 30 日)TLSv1.2 得到了很好的支持。以至于在网络服务器中,cloudflare 已经开始贬低较低版本了(看这里)。
使用新配置:
如果您想禁用 TLS v 1.0,请设置:
ssl_min_protocol=TLSv1.1如果你希望禁用 TLS v 1.1,请设置
ssl_min_protocol=TLSv1.2
看到此警告时应采取的措施
从配置文件中删除旧行:
ssl_protocols = ...确定哪种最小协议最适合您。默认值可能没问题,但这是您的选择。
如果默认值不适合您,则添加一行来替换旧的,例如:
ssl_min_protocol = TLSv1.2完成通常的变更控制流程。例如:使用多个电子邮件客户端测试配置。将更改通知您的用户并要求报告问题。