Можно ли отключить SSLv3 в Sendmail 8.14.3?
Рекомендации, которые я нашел, это использовать -O ServerSSLOptions=...
но этот вариант не признается. Есть ли другой способ отключить SSLv3 без изменения кода Sendmail?
Если нет, то в какой самой ранней версии Sendmail можно отключить SSLv3?
Спасибо за вашу помощь.
Какую ошибку вы получаете при вводе своей команды ..?
Однако вы можете попробовать изменить LOCAL_CONFIG
раздел sendmail.mc
файл вместо указания параметра в командной строке.
CipherList=HIGH
ServerSSLOptions= +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
ClientSSLOptions= +SSL_OP_NO_SSLv3
Ответ изменен из источника: POODLE Отключение поддержки SSLv3 на серверах
в случае ОС Centos такие параметры, как ServerSSLOptions или ClientSSLOptions, вероятно, также были перенесены в последние обновления пакетов rpm sendmail v8.13.8 ..?
поскольку sendmail-8-13.8-2.el5 из Centos 5 не знает этих параметров (sendmail возвращает ошибку: "неизвестное имя параметра ServerSSLOptions" и т. д.), а sendmail-8-13.8-10.el5_11 из каталога последних "обновлений" Centos 5.11 уже знает эти параметры ..
(Мой ответ похож на @ Greenonline, но я публикую его отдельно, поскольку форматирование кода в комментариях может быть переполнено).
Он должен работать, но вы должны быть очень конкретны в форматировании.
1) Редактировать /etc/mail/sendmail.mc
2) Добавьте следующее:
LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
(если у вас уже есть LOCAL_CONFIG
раздел, добавьте параметры ниже).
3) Отказаться от sendmail: /etc/init.d/sendmail restart
Ключевые моменты, о которых следует помнить:
O
префикс необходим.LOCAL_CONFIG
раздел. Давайте разберем эти варианты для большей ясности:
CipherList=HIGH
указывает sendmail согласовывать только те шифры, которые классифицируются как «высокие» в соответствии с OpenSSL (что в настоящее время означает комплекты шифров с длиной ключа больше 128 бит и некоторые комплекты шифров со 128-битными ключами). Поскольку они постоянно меняются, лучше всего проверить это напрямую в документации / ресурсах openssl.ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
отключает SSLv2, SSLv3 и указывает openssl / sendmail использовать предпочтения сервера вместо предпочтений клиента при выборе шифра.ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
почти такая же, как и выше - не используйте SSLv2 или SSLv3 - но на этот раз он относится к клиентским соединениям (исходящим).ServerSSLOptions
добавлена поддержка в sendmail-8.15.1
https://www.sendmail.com/sm/open_source/download/8.15.1/?show_rs=1#RS
Возможно с такими строками для yourconfigm4.mc
FEATURE(access_db)dnl
define(`confCACERT_PATH', `/etc/pki/certs')dnl
define(`confCACERT', `/etc/pki/certs/server.crt')dnl
define(`confSERVER_CERT', `/etc/pki/certs/server.site.crt')dnl
define(`confSERVER_KEY', `/etc/pki/certs/private.key')dnl
define(`confCLIENT_CERT', `/etc/pki/certs/server.site.crt')dnl
define(`confCLIENT_KEY', `/etc/pki/certs/private.key')dnl
O DHParameters=/etc/pki/private/dhparams.pem
LOCAL_CONFIG
dnl# Do not allow the weak SSLv2:
O CipherList=HIGH:!ADH-DES-CBC3-SHA:!ADH-AES128-SHA:!ADH-AES256-SHA:!ADH-CAMELLIA128-SHA:!ADH-CAMELLIA256-SHA:!DH-AES128-SHA256:!DH-AES256-SHA256:!aNULL:!DES:!3DES:!MD5:!DES+MD5:!RC4
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
и sendmail 15.1, который вы можете найти предварительно скомпилированным на csw репозиторий для solaris.