Назад | Перейти на главную страницу

Можно ли отключить SSLv3 в Sendmail 8.14.3?

Можно ли отключить SSLv3 в Sendmail 8.14.3?

Рекомендации, которые я нашел, это использовать -O ServerSSLOptions=... но этот вариант не признается. Есть ли другой способ отключить SSLv3 без изменения кода Sendmail?

Если нет, то в какой самой ранней версии Sendmail можно отключить SSLv3?

Спасибо за вашу помощь.

Какую ошибку вы получаете при вводе своей команды ..?

Однако вы можете попробовать изменить LOCAL_CONFIG раздел sendmail.mc файл вместо указания параметра в командной строке.

CipherList=HIGH

ServerSSLOptions= +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE

ClientSSLOptions= +SSL_OP_NO_SSLv3

Ответ изменен из источника: POODLE Отключение поддержки SSLv3 на серверах

в случае ОС Centos такие параметры, как ServerSSLOptions или ClientSSLOptions, вероятно, также были перенесены в последние обновления пакетов rpm sendmail v8.13.8 ..?

поскольку sendmail-8-13.8-2.el5 из Centos 5 не знает этих параметров (sendmail возвращает ошибку: "неизвестное имя параметра ServerSSLOptions" и т. д.), а sendmail-8-13.8-10.el5_11 из каталога последних "обновлений" Centos 5.11 уже знает эти параметры ..

(Мой ответ похож на @ Greenonline, но я публикую его отдельно, поскольку форматирование кода в комментариях может быть переполнено).

Он должен работать, но вы должны быть очень конкретны в форматировании.

1) Редактировать /etc/mail/sendmail.mc
2) Добавьте следующее:

LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3

(если у вас уже есть LOCAL_CONFIG раздел, добавьте параметры ниже).

3) Отказаться от sendmail: /etc/init.d/sendmail restart

Ключевые моменты, о которых следует помнить:

  • В O префикс необходим.
  • Этот материал должен попасть в LOCAL_CONFIG раздел.

Давайте разберем эти варианты для большей ясности:

  • CipherList=HIGH указывает sendmail согласовывать только те шифры, которые классифицируются как «высокие» в соответствии с OpenSSL (что в настоящее время означает комплекты шифров с длиной ключа больше 128 бит и некоторые комплекты шифров со 128-битными ключами). Поскольку они постоянно меняются, лучше всего проверить это напрямую в документации / ресурсах openssl.
  • ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE отключает SSLv2, SSLv3 и указывает openssl / sendmail использовать предпочтения сервера вместо предпочтений клиента при выборе шифра.
  • ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 почти такая же, как и выше - не используйте SSLv2 или SSLv3 - но на этот раз он относится к клиентским соединениям (исходящим).

Sendmail ServerSSLOptions [sendmail-8.15.1]

ServerSSLOptions добавлена ​​поддержка в sendmail-8.15.1

https://www.sendmail.com/sm/open_source/download/8.15.1/?show_rs=1#RS

Возможно с такими строками для yourconfigm4.mc

FEATURE(access_db)dnl
define(`confCACERT_PATH', `/etc/pki/certs')dnl
define(`confCACERT', `/etc/pki/certs/server.crt')dnl
define(`confSERVER_CERT', `/etc/pki/certs/server.site.crt')dnl
define(`confSERVER_KEY', `/etc/pki/certs/private.key')dnl
define(`confCLIENT_CERT', `/etc/pki/certs/server.site.crt')dnl
define(`confCLIENT_KEY', `/etc/pki/certs/private.key')dnl
O DHParameters=/etc/pki/private/dhparams.pem
LOCAL_CONFIG
dnl# Do not allow the weak SSLv2:
O CipherList=HIGH:!ADH-DES-CBC3-SHA:!ADH-AES128-SHA:!ADH-AES256-SHA:!ADH-CAMELLIA128-SHA:!ADH-CAMELLIA256-SHA:!DH-AES128-SHA256:!DH-AES256-SHA256:!aNULL:!DES:!3DES:!MD5:!DES+MD5:!RC4
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3

и sendmail 15.1, который вы можете найти предварительно скомпилированным на csw репозиторий для solaris.