Я в настоящее время пытаюсь защитить свою qmail установку и соединения SMTP.
При компиляции стандартного UCSPI SSL все поддерживаемые шифры включены по умолчанию. Это приводит к проблемам с ПУДЕЛЕМ, heartblead и другим проблемам SSL.
Я установил переменную среды под названием ШИФРЫ со следующими значениями.
CIPHERS=ALL:!LOW:!SSLv2:!EXP:!aNULL:!eNULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4
Это отключает большую часть "не так хороший" материал кроме SSLv3, который ответственен за ПУДЕЛЯ.
Второе я установил
CIPHERS=ALL:! НИЗКО:! SSLv2:! SSLv3:! EXP:! aNULL:! eNULL! 3DES:! MD5:! EXP:! CBC:! PSK:! SRP:! DSS:! RC4
сервер прекращает работать.
Любой совет приветствуется также для Шифров, что я могу, должен отключить на вершине.
Для TLSv1 нужны шифры SSLv3. Проще отключить протокол SSL3, чем шифр. Учитывая проблемы с SSL в сравнении с проблемами с другими почтовыми службами, я бы все равно отдал предпочтение qmail перед другими монолитными почтовыми службами, которые не следуют UNIX-философии разделения задачи на отдельные отсеки, выполняющие небольшие задачи с хорошо определенными входами и выходами.
Скоро наверняка появится лучший патч для TLS. Когда он попадет в списки рассылки, он будет приветствоваться
.