我目前正在尝试保护我的 qmail 安装和 SMTP 连接。
编译标准 UCSPI SSL 时,默认启用所有支持的密码。这会导致 POODLE、heartblead 和其他 SSL 问题。
我使用以下值设置了一个名为 CIPHERS 的环境变量。
CIPHERS=ALL:!LOW:!SSLv2:!EXP:!aNULL:!eNULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4
除了负责 POODLE 的 SSLv3 之外,这会禁用大多数“不太好”的东西。
我设置的第二个
CIPHERS=ALL:!LOW:!SSLv2: !SSLv3: !EXP:!aNULL:!eNULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4
服务器停止工作。
对于我可能应该在顶部禁用的密码,也欢迎任何建议。
TLSv1 需要 SSLv3 密码。更容易的是禁用 SSL3 协议,而不是密码。考虑到 SSL 的问题与其他邮件程序的问题,我仍然更喜欢 qmail,而不是其他不遵循 UNIX 哲学的单片邮件程序,将任务分成单独的隔间来执行具有明确输入和输出的小任务。
我敢肯定,很快就会有更好的 TLS 补丁。当它到达邮件列表时,它会受到欢迎。