在 Courier-IMAP 服务器中关闭 SSLv3 如何影响旧的邮件用户代理？

上周尝试过这个，我的经验是它打破了很多客户。现代 Outlook 确实支持 TLS，但它认为这意味着以明文开始，然后升级为加密。TLS 可以用作从头算密码套件的想法似乎已经逃脱了它。每当我选择 TLS 时，它坚持要使用 IMAP 端口 143，而不是 IMAP/S 端口 993。虽然我承认自己不是 Windows 管理员，但我无法说服它，因为我不想暴露端口143，这让我很困扰。

Android 手机上的 K-9 邮件 (v5.001) 也坏了。当然，Linux 下的 ALPINE (2.11) 很好。我不能在任何平台上代表 Thunderbird，因为当我的用户（包括我的妻子）完成我的耳朵弯曲时，我被说服切换回来。

我看到的大多数分析表明，目前没有已知的基于 IMAP/POP 的 SSLv3 漏洞利用。dovecot我的新计划是在端口 994 上设置第二个，只做TLS，并温和地引导我的用户寻找适合他们的客户端。如果我在野外看到任何有关基于邮件的漏洞利用的报告，那么“温和”可能会变得更加有力。

编辑以解决以下 mc0e 的评论：

你的误解是一个常见的误解，而且我多年来一直深受其害。但是，认为 TLS 只能用于通过明文升级进行加密的想法是错误的，因为它很常见。

考虑：POODLE 缓解依赖于禁用 HTTPS 服务器的 SSLv3；缓解的服务器只能说 TLS。除非你认为 HTTPS 刚刚获得了在 POODLE 之前不存在的纯文本优先阶段，并且世界上所有的网络浏览器在连接到 TCP 端口 443 时都突然改变了行为（它没有，而且他们没有; 启动wireshark并查看），然后TLS被用于从一开始就加密的会话。TLS 当然支持从明文升级，但它也可以用于从头加密——不管各种客户端软件包是怎么想的。

编辑 2：mc0e，我同意这STARTTLS绝对仅限于最初的明文服务。但是，这不是正在讨论的内容，也不是许多客户使用的术语。对他们来说，对许多人来说，STARTTLS都是TLS一回事；我的意思是他们不是；后者是前者的纯超集。

那些认为从 SSLv3 切换加密的非 Web 服务会很容易“因为客户端支持 TLS ”的人可能会遇到问题，因为客户端的真正意思是它支持“STARTTLS用于加密升级”，而不是“TLS 作为用于从头加密连接和 从明文升级的加密套件” 。

Outlook Express 支持 TLS 和 SSL。所以删除 SSlv3 会影响那些设置它使用 SSL 的人。切换到使用 TLS 应该可以解决问题。

SSLv3 与 TLS 一样老，以至于大多数邮件客户端都支持 TLS，所以我真的不用担心。POODLE 也会影响 XPsp2 及以下版本，因此如果您可以告诉人们升级到 sp3，即会再次工作。