Можно ли отключить SSLv3 в Sendmail 8.14.3?
Можно ли отключить SSLv3 в Sendmail 8.14.3?
Рекомендации, которые я нашел, это использовать -O ServerSSLOptions=... но этот вариант не признается. Есть ли другой способ отключить SSLv3 без изменения кода Sendmail?
Если нет, то какая самая ранняя версия Sendmail, в которой SSLv3 можно отключить?
Спасибо за вашу помощь.
5 ответов
Какую ошибку вы получаете, когда вводите команду?
Тем не менее, вы можете попробовать изменить LOCAL_CONFIG раздел sendmail.mc файл, вместо указания параметра в командной строке.
CipherList=HIGH
ServerSSLOptions= +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
ClientSSLOptions= +SSL_OP_NO_SSLv3
Ответ изменен из источника: POODLE Отключение поддержки SSLv3 на серверах
В случае с ОС Centos такие опции как ServerSSLOptions или ClientSSLOptions, вероятно, были перенесены также в последние обновления пакетов sendmail v8.13.8 rpm.
потому что sendmail-8-13.8-2.el5 из Centos 5 не знает этих опций (sendmail возвращает ошибку: "неизвестное имя опции ServerSSLOptions" и т. д.), а sendmail-8-13.8-10.el5_11 из каталога последних обновлений Centos 5.11 уже знает эти опции..
(Мой ответ похож на @Greenonline, но я публикую его отдельно, поскольку форматирование кода в комментариях может быть переполнено).
Это должно работать, но вы должны быть очень точными в форматировании.
1) Редактировать /etc/mail/sendmail.mc
2) Добавить следующее:
LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
(если у вас уже есть LOCAL_CONFIG раздел, добавьте варианты там).
3) Отказов sendmail: /etc/init.d/sendmail restart
Ключевыми частями, которые нужно иметь в виду, являются:
Oпрефикс нужен.- Этот материал должен идти в
LOCAL_CONFIGраздел.
Давайте разберем эти параметры для большей ясности:
CipherList=HIGHсообщает sendmail согласовывать только с шифрами, которые классифицируются как "высокие" в соответствии с OpenSSL (что в настоящее время означает наборы шифров с длиной ключа более 128 бит и некоторые наборы шифров с 128-разрядными ключами). Так как они постоянно меняются, лучше проверить это непосредственно с помощью документации / ресурсов openssl.ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCEотключает SSLv2, SSLv3 и указывает openssl/sendmail использовать настройки сервера вместо предпочтений клиента при выборе шифра.ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3почти такой же, как и выше - не используйте SSLv2 или SSLv3 - но на этот раз это относится к клиентским соединениям (исходящим).
Sendmail ServerSSLOptions [sendmail-8.15.1]
ServerSSLOptions добавлена поддержка в sendmail-8.15.1
https://www.sendmail.com/sm/open_source/download/8.15.1/?show_rs=1
Возможно с линиями, подобными этому для yourconfigm4.mc
FEATURE(access_db)dnl
define(`confCACERT_PATH', `/etc/pki/certs')dnl
define(`confCACERT', `/etc/pki/certs/server.crt')dnl
define(`confSERVER_CERT', `/etc/pki/certs/server.site.crt')dnl
define(`confSERVER_KEY', `/etc/pki/certs/private.key')dnl
define(`confCLIENT_CERT', `/etc/pki/certs/server.site.crt')dnl
define(`confCLIENT_KEY', `/etc/pki/certs/private.key')dnl
O DHParameters=/etc/pki/private/dhparams.pem
LOCAL_CONFIG
dnl# Do not allow the weak SSLv2:
O CipherList=HIGH:!ADH-DES-CBC3-SHA:!ADH-AES128-SHA:!ADH-AES256-SHA:!ADH-CAMELLIA128-SHA:!ADH-CAMELLIA256-SHA:!DH-AES128-SHA256:!DH-AES256-SHA256:!aNULL:!DES:!3DES:!MD5:!DES+MD5:!RC4
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
и sendmail 15.1, который вы можете найти предварительно скомпилированным в репозитории csw для solaris.