В настоящее время я пытаюсь защитить свою установку qmail и SMTP-соединения.
При компиляции стандартного UCSPI SSL все поддерживаемые шифры включены по умолчанию. Это приводит к проблемам с POODLE, heartblead и другим проблемам SSL.
Я установил для переменной окружения CIPHERS следующие значения.
CIPHERS=ALL:!LOW:!SSLv2:!EXP:!aNULL:!eNULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4
Это отключает большую часть «не очень приятных» вещей, кроме SSLv3, который отвечает за POODLE.
Второй я поставил
ШИФРЫ = ВСЕ:! LOW:! SSLv2:! SSLv3:! EXP:! ANULL:! ENULL! 3DES:! MD5:! EXP:! CBC:! PSK:! SRP:! DSS:! RC4
сервер перестает работать.
Любые советы приветствуются также для Ciphers, которые я могу отключить сверху.
Вам нужны шифры SSLv3 для TLSv1. Что проще, так это отключить протокол SSL3, а не шифр. Учитывая проблемы с SSL по сравнению с проблемами с другими почтовыми программами, я бы предпочел qmail другим монолитным почтовым программам, которые не следуют философии UNIX по разделению задачи на отдельные части, выполняя небольшие задачи с четко определенными входами и выходами.
Я уверен, что скоро будет лучший патч для TLS. Когда он попадет в списки рассылки, он будет приветствоваться.