修复快递中的僵局漏洞

修复快递中的僵局漏洞

网站弱者网解释如何修复 postfix 以防止被称为“logjam”的弱 Diffie-Hellman 攻击。

但是我是否也需要修复 courier?或者我是否必须迁移到 dovecot 才能避免堵塞?

答案1

我发现这篇博文这很好地解释了这一点。

为了加快速度,首先检查是否已经有了良好的/etc/ssl/certs/dhparams.pem参数

openssl dhparam -text -noout -in /etc/ssl/certs/dhparams.pem

如果是的话,将它们复制/etc/courier/dhparams.pem

cp -a /etc/ssl/certs/dhparams.pem /etc/courier/dhparams.pem

否则生成

openssl dhparam -out /etc/courier/dhparams.pem 4096

Courrier 4.15 版删除了 TLS_DHCERTFILE 参数来自 imap 和 pop3d 配置文件。DH 参数(仅限 DH 参数)从新的 TLS_DHPARAMS 文件读取(TLS_DHCERTFILE 的其他功能(对于 DSA 证书)已合并到 TLS_CERTFILE)。升级后,运行 mkdhparams 脚本以创建新的 TLS_DHPARAMS 文件。

因此使用以下命令检查您安装的版本

 apt-cache show courier-imap-ssl|grep Version

如果你有至少 4.15 版本,现在编辑/etc/courier/imapd-ssl并设置

TLS_DHPARAMS=/etc/courier/dhparams.pem

重新启动 courier-imap-ssl:

/etc/init.d/courier-imap-ssl restart

使用 openssl 版本 1.0.2a 检查连接。

openssl s_client -host <yourhost.org> -port 993

答案2

使用 courier 时,需要确保/etc/courier/dhparams.pem生成的 Diffie-Hellman 参数大于默认的 768 位。我猜 2048 或 4096 位应该可以。

除了使用mkdhparams来生成dhparams.pem(默认情况下只有 768 位!)之外,您还可以按照以下方式进行操作:

openssl dhparam -out /etc/courier/dhparams.pem 2048

service courier-mta-ssl restart 

以下是一些信息(德语)和一些关于如何减轻对 Courier-MTA 的 Logjam 攻击。

相关内容