Действительно ли возможно отключить SSLv3 в Sendmail 8.14.3?
Рекомендации, которые я нашел, состоят в том, чтобы использовать -O ServerSSLOptions=...
но та опция не распознана. Есть ли какой-либо другой способ отключить SSLv3, не изменяя код Sendmail?
В противном случае, который является самой ранней версией Sendmail, в котором может быть отключен SSLv3?
Спасибо за помощь.
Какую ошибку вы получаете при вводе команды?
Однако вы можете попробовать изменить раздел LOCAL_CONFIG
в sendmail. mc
вместо указания параметра в командной строке.
CipherList=HIGH
ServerSSLOptions= +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
ClientSSLOptions= +SSL_OP_NO_SSLv3
Ответ изменен из источника: POODLE Отключение поддержки SSLv3 на серверах
(Мой ответ похож на @Greenonline, но я размещаю его отдельно, так как форматирование кода в комментариях может быть перегружено).
Это должно работать, но нужно быть очень специфическим в форматировании.
1) Правка /etc/mail/endmail.mc
2) Добавьте следующее:
LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
(если у вас уже есть раздел LOCAL_CONFIG
, добавьте опции внизу).
3) Bounce sendmail: /etc/init.d/sendmail restart
Ключевые части, которые следует учитывать:
O
.LOCAL_CONFIG
. Давайте разберем эти варианты для большей ясности:
CipherList=HIGH
говорит sendmail вести переговоры только с шифрами, которые согласно OpenSSL относятся к категории "high" (в настоящее время это наборы шифров с длиной ключей более 128 бит и некоторые наборы шифров с 128-битными ключами). Так как они всегда меняются, лучше всего проверять их непосредственно в документации/ресурсах openssl.ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
отключает SSLv2, SSLv3 и говорит openssl/endmail использовать предпочтения сервера вместо предпочтений клиента при выборе шифра. ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
практически то же самое, что и выше - не используйте SSLv2 или SSLv3 - но на этот раз это относится к клиентским соединениям (исходящим).ServerSSLOptions
в sendmail-8.15.1
https://www.sendmail.com/sm/open_source/download/8.15.1/?show_rs=1#RS
в случае ОС Centos такие параметры, как ServerSSLOptions или ClientSSLOptions, вероятно, также были перенесены в последние обновления пакетов rpm sendmail v8.13.8 ..?
из-за sendmail-8-13.8-2. el5 из Centos 5 не знает эти параметры (sendmail возвращает ошибку: "неизвестное имя параметра ServerSSLOptions" и т. д.), а sendmail-8-13.8-10.el5_11 из каталога последних "обновлений" Centos 5.11 уже знает эти параметры ..
Можно использовать строки, похожие на это, для yourconfigm4.mc
FEATURE(access_db)dnl
define(`confCACERT_PATH', `/etc/pki/certs')dnl
define(`confCACERT', `/etc/pki/certs/server.crt')dnl
define(`confSERVER_CERT', `/etc/pki/certs/server.site.crt')dnl
define(`confSERVER_KEY', `/etc/pki/certs/private.key')dnl
define(`confCLIENT_CERT', `/etc/pki/certs/server.site.crt')dnl
define(`confCLIENT_KEY', `/etc/pki/certs/private.key')dnl
O DHParameters=/etc/pki/private/dhparams.pem
LOCAL_CONFIG
dnl# Do not allow the weak SSLv2:
O CipherList=HIGH:!ADH-DES-CBC3-SHA:!ADH-AES128-SHA:!ADH-AES256-SHA:!ADH-CAMELLIA128-SHA:!ADH-CAMELLIA256-SHA:!DH-AES128-SHA256:!DH-AES256-SHA256:!aNULL:!DES:!3DES:!MD5:!DES+MD5:!RC4
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
и sendmail 15.1, которые вы можете найти предварительно скомпилированными в репозитории csw для solaris.