我目前正在尝试保护我的 qmail 安装和 SMTP 连接。
编译标准 UCSPI SSL 时,所有支持的密码都默认启用。这会导致 POODLE、heartblead 和其他 SSL 问题。
我设置了一个名为 CIPHERS 的环境变量,其值如下。
CIPHERS=ALL:!LOW:!SSLv2:!EXP:!aNULL:!eNULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4
这会禁用除导致 POODLE 的 SSLv3 之外的大多数“不太好”的东西。
我设定的第二个
密码=全部:!低:!SSLv2:SSLv3 版本:!EXP:!aNULL:!eNULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4
服务器停止工作。
对于我可能应该禁用的密码,也欢迎任何建议。
答案1
TLSv1 需要 SSLv3 密码。禁用 SSL3 协议比禁用密码更简单。考虑到 SSL 的问题与其他邮件程序的问题,我仍然更喜欢 qmail,而不是其他不遵循 UNIX 哲学的单片邮件程序,后者将任务拆分为单独的部分,执行具有明确输入和输出的小任务。
我确信不久后就会有更好的 TLS 补丁。当它进入邮件列表时,它将受到欢迎。