在此服务器上运行 PCI 安全扫描时,它在端口 25 上失败,并显示:
SSL 服务器支持弱加密 nCircle ID:6174 端口:25 CVSS 评分:5.8 不合规 说明 SSL(安全套接字层)服务器支持弱加密密钥,弱加密密钥定义为长度小于 128 位的加密密钥。使用弱加密密钥加密的消息对于未经授权的用户来说相对容易解密。
我尝试修改 /etc/postfix/main.cf 并进行各种更改:
- postconf -e smtpd_tls_mandatory_protocols="SSLv3,TLSv1"
- postconf -e smtpd_tls_mandatory_ciphers="高"
- postconf -e smtpd_tls_exclude_ciphers="SSLv2,aNULL,ADH,eNULL"
运气不好。这是唯一一个扫描失败的端口。我的 Web 和 IMAP 端口都很好。
欢迎提出任何建议。
答案1
一份文件我发现建议采用以下设置来符合 PCI 合规性:
postconf -e smtpd_tls_ciphers=medium
postconf -e smtpd_tls_protocols=\!SSLv2
postconf -e smtpd_tls_mandatory_ciphers=high
postconf -e smtpd_tls_exclude_ciphers="aNULL, MD5, DES"
然后重新启动 postfix 守护进程。
该文档实际上是针对不相关的 VMWare 产品,但 postfix 就是 postfix,对吗?
;-)