网站弱者网解释如何修复 postfix 以防止被称为“logjam”的弱 Diffie-Hellman 攻击。
但是我是否也需要修复 courier?或者我是否必须迁移到 dovecot 才能避免堵塞?
答案1
我发现这篇博文这很好地解释了这一点。
为了加快速度,首先检查是否已经有了良好的/etc/ssl/certs/dhparams.pem参数
openssl dhparam -text -noout -in /etc/ssl/certs/dhparams.pem
如果是的话,将它们复制/etc/courier/dhparams.pem到
cp -a /etc/ssl/certs/dhparams.pem /etc/courier/dhparams.pem
否则生成
openssl dhparam -out /etc/courier/dhparams.pem 4096
Courrier 4.15 版删除了 TLS_DHCERTFILE 参数来自 imap 和 pop3d 配置文件。DH 参数(仅限 DH 参数)从新的 TLS_DHPARAMS 文件读取(TLS_DHCERTFILE 的其他功能(对于 DSA 证书)已合并到 TLS_CERTFILE)。升级后,运行 mkdhparams 脚本以创建新的 TLS_DHPARAMS 文件。
因此使用以下命令检查您安装的版本
apt-cache show courier-imap-ssl|grep Version
如果你有至少 4.15 版本,现在编辑/etc/courier/imapd-ssl并设置
TLS_DHPARAMS=/etc/courier/dhparams.pem
重新启动 courier-imap-ssl:
/etc/init.d/courier-imap-ssl restart
使用 openssl 版本 1.0.2a 检查连接。
openssl s_client -host <yourhost.org> -port 993
答案2
使用 courier 时,需要确保/etc/courier/dhparams.pem生成的 Diffie-Hellman 参数大于默认的 768 位。我猜 2048 或 4096 位应该可以。
除了使用mkdhparams来生成dhparams.pem(默认情况下只有 768 位!)之外,您还可以按照以下方式进行操作:
openssl dhparam -out /etc/courier/dhparams.pem 2048
service courier-mta-ssl restart
以下是一些信息(德语)和一些关于如何减轻对 Courier-MTA 的 Logjam 攻击。