Сайт weakdh.org объясняет, как исправить постфикс против слабой атаки Диффи-Хеллмана, называемой "застреванием".
Но разве мне тоже не надо исправлять курьера? Или мне нужно перейти на Dovecot, чтобы избежать заторов?
я нашел это сообщение в блоге это довольно хорошо объясняет.
Чтобы ускорить это, сначала проверьте, есть ли у вас уже хорошие параметры в /etc/ssl/certs/dhparams.pem проверить с
openssl dhparam -text -noout -in /etc/ssl/certs/dhparams.pem
если да, скопируйте их в /etc/courier/dhparams.pem с участием
cp -a /etc/ssl/certs/dhparams.pem /etc/courier/dhparams.pem
в противном случае сгенерировать с помощью
openssl dhparam -out /etc/courier/dhparams.pem 4096
Версия Courrier 4.15 удаляет параметр TLS_DHCERTFILE. из файлов конфигурации imap и pop3d. Параметры DH и только параметры DH считываются из нового файла TLS_DHPARAMS (а другие функции TLS_DHCERTFILE для сертификатов DSA объединяются в TLS_CERTFILE). После обновления запустите сценарий mkdhparams, чтобы создать новый файл TLS_DHPARAMS.
Поэтому проверьте установленную версию с помощью
apt-cache show courier-imap-ssl|grep Version
Если у вас версия не ниже 4.15, отредактируйте /etc/courier/imapd-ssl и установить
TLS_DHPARAMS=/etc/courier/dhparams.pem
перезапустить courier-imap-ssl:
/etc/init.d/courier-imap-ssl restart
проверьте соединение с openssl версии 1.0.2a.
openssl s_client -host <yourhost.org> -port 993
При использовании курьера необходимо убедиться, что параметры Диффи-Хеллмана в /etc/courier/dhparams.pem генерируются с более чем 768 битами по умолчанию. Думаю, подойдет 2048 или 4096 бит.
Вместо того, чтобы использовать mkdhparams генерировать dhparams.pem (по умолчанию всего 768 бит!) вы можете сделать это следующим образом:
openssl dhparam -out /etc/courier/dhparams.pem 2048
service courier-mta-ssl restart
Вот некоторая информация (на немецком языке) и дополнительная информация о том, как смягчить атаку Logjam на Courier-MTA.