Postfix 25 端口上的 BEAST(针对 SSL/TLS 的浏览器漏洞)漏洞

Postfix 25 端口上的 BEAST(针对 SSL/TLS 的浏览器漏洞)漏洞

我无法通过 PCI 兼容扫描。我已成功使用 RC4 密码进行 Apache 设置,但我的 Postfix 配置仍未修复。我应该在 main.cf 文件中使用什么 TLS 配置。

我当前的配置如下

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
tls_preempt_cipherlist = yes
smtpd_tls_protocols = !SSLv2
smtpd_tls_mandatory_protocols = !SSLv2, SSLv3
smtpd_tls_cipherlist = RC4-SHA:+TLSv1:!SSLv2:+SSLv3:!aNULL:!NULL
smtp_tls_cipherlist = RC4-SHA:+TLSv1:!SSLv2:+SSLv3:!aNULL:!NULL
smtpd_tls_security_level = encrypt

答案1

您的审计员知道 BEAST 中的 B 代表浏览器对吧?
对于像 MUA 这样的非浏览器客户端来说,泄露足够的信息以危及安全是非常不切实际的(尽管并非完全不可能)。

也就是说,您应该能够_cipherlist像对 Apache 那样使用各种参数。您应该确保不提供任何易受攻击的密码(我相信您目前使用该密码列表,但我没有查看扩展列表,所以我可能是错的)。

您可能还想关闭它tls_preempt_cypherlist,以防导致密码协商出现问题。


正如其他人指出的那样,你的邮件服务器应该是一个独立的基础设施(因此通常不属于 PCI 审计范围无论如何。
如果你的审计员在四处打探,那么可能更容易的办法就是打补丁让他们闭嘴,但如果你的邮件服务器本身并不是一个孤岛,那么你真的需要重新设计它。这只是标准的安全最佳实践。

相关内容