Я не могу выполнить сканирование на соответствие стандарту PCI. Я успешно использовал шифры RC4 для установки Apache, но моя конфигурация Postfix все еще не исправлена. Какую конфигурацию TLS следует использовать в файле main.cf.
моя текущая конфигурация выглядит следующим образом
# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
tls_preempt_cipherlist = yes
smtpd_tls_protocols = !SSLv2
smtpd_tls_mandatory_protocols = !SSLv2, SSLv3
smtpd_tls_cipherlist = RC4-SHA:+TLSv1:!SSLv2:+SSLv3:!aNULL:!NULL
smtp_tls_cipherlist = RC4-SHA:+TLSv1:!SSLv2:+SSLv3:!aNULL:!NULL
smtpd_tls_security_level = encrypt
Ваш одитор знает, что буква B в BEAST означает БРАУЗЕР право?
Для клиента, не использующего браузер, такого как MUA, довольно непрактично (хотя да, не совсем невозможно) утечка достаточного количества информации, чтобы поставить под угрозу безопасность.
Тем не менее, вы должны иметь возможность использовать различные _cipherlist параметры, как и для Apache. Вы должны убедиться, что не предлагаете никаких уязвимых шифров (я полагаю, что вы в настоящее время пользуетесь этим списком шифров, но я не смотрю на расширенные списки, поэтому могу ошибаться).
Вы также можете отключить tls_preempt_cypherlist в случае, если это вызывает проблемы с согласованием шифров.
Как отмечали другие, ваш почтовый сервер должен быть изолированной частью инфраструктуры (и, следовательно, обычно выходит за рамки аудита PCI тем не мение.
Если ваш аудитор ковыряется, вероятно, проще просто исправить его, чтобы заткнуть им рот, но если ваш почтовый сервер не является отдельным островом, вам действительно нужно переделать архитектуру, чтобы это было так. Это просто стандартные рекомендации по безопасности.