Я пытаюсь отключить поддержку SSLv2 (среди прочего) в Courier на Linux. В / etc / courier / imapd-ssl у меня есть:
TLS_CIPHER_LIST="HIGH:!MEDIUM:!SSLv2:!LOW:!EXP:!aNULL:!ADH:@STRENGTH:!3DES"
TLS_PROTOCOL=TLS1
TLS_STARTTLS_PROTOCOL=TLS1
Это хорошо работает с imaps (993 / tcp):
# openssl s_client -connect localhost:995 -ssl2
CONNECTED(00000003)
write:errno=104
Но для STARTTLS на 143 / tcp кажется, что SSLv2 разрешен:
openssl s_client -connect localhost:143 -starttls imap -ssl2
CONNECTED(00000003)
Напротив:
openssl s_client -connect localhost:143 -starttls imap -ssl3
CONNECTED(00000003)
140692334688072:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:339:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 549 bytes and written 7 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : SSLv3
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
Krb5 Principal: None
PSK identity: None
PSK identity hint: None
Start Time: 1492550234
Timeout : 7200 (sec)
Verify return code: 0 (ok)
---
Мне кажется, что SSLv2 все еще включен при использовании STARTTLS на 143
Поскольку SSLv2 и SSLv3 устарели в течение многих лет, а TLS является преемником, в настоящее время вы, вероятно, захотите отключить TLS 1.0 и TLS 1.1 в курьерской службе. Не устанавливайте TLS_CIPHER_LIST! По умолчанию все будет в порядке, настройки будут взяты из ваших настроек openssl.
В /etc/courier/imapd-ssl устанавливать
TLS_PROTOCOL="TLSv1.2"
Это позволит использовать TLS 1.2 или новее (TLS 1.3 отсутствует)
Работает ли TLSv1.2, зависит от того, достаточно ли свежа ваша библиотека openssl для поддержки TLS1.2.
Чтобы проверить, сработало ли это, посмотрите результат
openssl s_client -tls1_1 -connect mail.example.org:993