O site fracodh.org explica como corrigir o postfix contra o ataque Diffie-Hellman fraco chamado "logjam".
Mas não tenho que consertar o correio também? Ou eu tenho que migrar para dovecot para ser seguro contra congestionamentos?
AskOverflow.Dev
O site fracodh.org explica como corrigir o postfix contra o ataque Diffie-Hellman fraco chamado "logjam".
Mas não tenho que consertar o correio também? Ou eu tenho que migrar para dovecot para ser seguro contra congestionamentos?
Encontrei este post no blog que explica muito bem.
Para acelerar isso, primeiro verifique se você já possui bons parâmetros em
/etc/ssl/certs/dhparams.pemcheque comem caso afirmativo, copie-os para
/etc/courier/dhparams.pemcomcaso contrário gerar com
Courrier versão 4.15 remove o parâmetro TLS_DHCERTFILE dos arquivos de configuração imap e pop3d. Parâmetros DH, e apenas parâmetros DH, são lidos do novo arquivo TLS_DHPARAMS (e a outra funcionalidade de TLS_DHCERTFILE, para certificados DSA, é mesclada em TLS_CERTFILE). Após a atualização, execute o script mkdhparams para criar um novo arquivo TLS_DHPARAMS.
Portanto, verifique sua versão instalada com
Se você tiver pelo menos a versão 4.15, agora edite
/etc/courier/imapd-ssle definareinicie o correio-imap-ssl:
verifique a conexão com o openssl versão 1.0.2a.
Ao usar o correio, você precisa garantir que os parâmetros Diffie-Hellman
/etc/courier/dhparams.pemsejam gerados com mais do que o padrão de 768 bits. Eu acho que 2048 ou 4096 bits devem servir.Em vez de usar
mkdhparamspara gerardhparams.pem(com apenas 768 bits por padrão!) Você poderia fazer assim:Aqui estão algumas informações (em alemão) e algumas leituras adicionais sobre como mitigar o ataque de impasse no Courier-MTA.