Действительно ли возможно отключить SSLv3 в Sendmail 8.14.3?

Какую ошибку вы получаете при вводе команды?

Однако вы можете попробовать изменить раздел LOCAL_CONFIG в sendmail. mc вместо указания параметра в командной строке.

CipherList=HIGH

ServerSSLOptions= +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE

ClientSSLOptions= +SSL_OP_NO_SSLv3

Ответ изменен из источника: POODLE Отключение поддержки SSLv3 на серверах

(Мой ответ похож на @Greenonline, но я размещаю его отдельно, так как форматирование кода в комментариях может быть перегружено).

Это должно работать, но нужно быть очень специфическим в форматировании.

1) Правка /etc/mail/endmail.mc
2) Добавьте следующее:

LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3

(если у вас уже есть раздел LOCAL_CONFIG, добавьте опции внизу).

3) Bounce sendmail: /etc/init.d/sendmail restart

Ключевые части, которые следует учитывать:

• Нужен префикс O.
• Эти вещи должны попасть в раздел LOCAL_CONFIG.

Давайте разберем эти варианты для большей ясности:

• CipherList=HIGH говорит sendmail вести переговоры только с шифрами, которые согласно OpenSSL относятся к категории "high" (в настоящее время это наборы шифров с длиной ключей более 128 бит и некоторые наборы шифров с 128-битными ключами). Так как они всегда меняются, лучше всего проверять их непосредственно в документации/ресурсах openssl.
• ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE отключает SSLv2, SSLv3 и говорит openssl/endmail использовать предпочтения сервера вместо предпочтений клиента при выборе шифра.
• ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 практически то же самое, что и выше - не используйте SSLv2 или SSLv3 - но на этот раз это относится к клиентским соединениям (исходящим).

Добавлена поддержка sendmail ServerSSLOptions [sendmail-8.15.1]

ServerSSLOptions в sendmail-8.15.1

https://www.sendmail.com/sm/open_source/download/8.15.1/?show_rs=1#RS

в случае ОС Centos такие параметры, как ServerSSLOptions или ClientSSLOptions, вероятно, также были перенесены в последние обновления пакетов rpm sendmail v8.13.8 ..?

из-за sendmail-8-13.8-2. el5 из Centos 5 не знает эти параметры (sendmail возвращает ошибку: "неизвестное имя параметра ServerSSLOptions" и т. д.), а sendmail-8-13.8-10.el5_11 из каталога последних "обновлений" Centos 5.11 уже знает эти параметры ..

Можно использовать строки, похожие на это, для yourconfigm4.mc

FEATURE(access_db)dnl
define(`confCACERT_PATH', `/etc/pki/certs')dnl
define(`confCACERT', `/etc/pki/certs/server.crt')dnl
define(`confSERVER_CERT', `/etc/pki/certs/server.site.crt')dnl
define(`confSERVER_KEY', `/etc/pki/certs/private.key')dnl
define(`confCLIENT_CERT', `/etc/pki/certs/server.site.crt')dnl
define(`confCLIENT_KEY', `/etc/pki/certs/private.key')dnl
O DHParameters=/etc/pki/private/dhparams.pem
LOCAL_CONFIG
dnl# Do not allow the weak SSLv2:
O CipherList=HIGH:!ADH-DES-CBC3-SHA:!ADH-AES128-SHA:!ADH-AES256-SHA:!ADH-CAMELLIA128-SHA:!ADH-CAMELLIA256-SHA:!DH-AES128-SHA256:!DH-AES256-SHA256:!aNULL:!DES:!3DES:!MD5:!DES+MD5:!RC4
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3

и sendmail 15.1, которые вы можете найти предварительно скомпилированными в репозитории csw для solaris.