No momento, estou tentando proteger minha instalação do qmail e as conexões SMTP.
Ao compilar o SSL UCSPI padrão, todas as cifras suportadas são habilitadas por padrão. Isso leva a problemas com POODLE, heartblead e outros problemas de SSL.
Eu defino uma variável de ambiente chamada CIPHERS com os seguintes valores.
CIPHERS=ALL:!LOW:!SSLv2:!EXP:!aNULL:!eNULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4
Isso desativa a maioria das coisas "não tão legais", exceto SSLv3, que é responsável pelo POODLE.
O segundo eu defino
CIPHERS=ALL:!LOW:!SSLv2: !SSLv3: ! EXP:!aNULL:!eNULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4
o servidor para de funcionar.
Qualquer conselho é bem-vindo também para cifras que devo desativar no topo.
Você precisa de cifras SSLv3 para TLSv1. O que é mais fácil é desativar o protocolo SSL3, em vez da cifra. Dados os problemas com SSL versus os problemas com outros mailers, eu ainda prefiro qmail sobre outros mailers monolíticos que não seguem a filosofia UNIX de dividir uma tarefa em compartimentos separados fazendo pequenas tarefas com entradas e saídas bem definidas.
Haverá um patch melhor para o TLS em breve, tenho certeza. Quando chegar às listas de e-mail, será bem-vindo.