web-dev-qa-db-ja.com

Sendmail 8.14.3でSSLv3を無効にすることは可能ですか?

Sendmail 8.14.3でSSLv3を無効にすることは可能ですか?

私が見つけた推奨事項は-O ServerSSLOptions=...を使用することですが、そのオプションは認識されません。 Sendmailコードを変更せずにSSLv3を無効にする他の方法はありますか?

そうでない場合、SSLv3を無効にできるSendmailの最も古いバージョンはどれですか?

ご協力いただきありがとうございます。

3
a.d23

コマンドを入力したときに表示されるエラーは何ですか?

ただし、コマンドラインでオプションを指定する代わりに、LOCAL_CONFIGファイルのsendmail.mcセクションを変更してみることができます。

CipherList=HIGH

ServerSSLOptions= +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE

ClientSSLOptions= +SSL_OP_NO_SSLv3

回答はソースから変更されています: POODLEサーバーでのSSLv3サポートの無効化

4
Greenonline

centos OSの場合、ServerSSLOptionsまたはClientSSLOptionsとしてのオプションは、sendmail v8.13.8rpmパッケージの最新のアップデートにもバックポートされた可能性があります。

centos 5のsendmail-8-13.8-2.el5はこれらのオプションを認識しないため(sendmailはエラーを返します:「不明なオプション名ServerSSLOptions」など)、sendmail-8-13.8-10.el5_11はの最新の「updates」ディレクトリからCentos 5.11はすでにこれらのオプションを認識しています。

1
user312838

Sendmail ServerSSLOptions [sendmail-8.15.1]

ServerSSLOptionsサポートがsendmail-8.15.1に追加されました

https://www.sendmail.com/sm/open_source/download/8.15.1/?show_rs=1#RS

0
AnFi

Yourconfigm4.mcのこれに類似した行で可能です

FEATURE(access_db)dnl
define(`confCACERT_PATH', `/etc/pki/certs')dnl
define(`confCACERT', `/etc/pki/certs/server.crt')dnl
define(`confSERVER_CERT', `/etc/pki/certs/server.site.crt')dnl
define(`confSERVER_KEY', `/etc/pki/certs/private.key')dnl
define(`confCLIENT_CERT', `/etc/pki/certs/server.site.crt')dnl
define(`confCLIENT_KEY', `/etc/pki/certs/private.key')dnl
O DHParameters=/etc/pki/private/dhparams.pem
LOCAL_CONFIG
dnl# Do not allow the weak SSLv2:
O CipherList=HIGH:!ADH-DES-CBC3-SHA:!ADH-AES128-SHA:!ADH-AES256-SHA:!ADH-CAMELLIA128-SHA:!ADH-CAMELLIA256-SHA:!DH-AES128-SHA256:!DH-AES256-SHA256:!aNULL:!DES:!3DES:!MD5:!DES+MD5:!RC4
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3

そして、sendmail 15.1は、solarisの csw リポジトリにプリコンパイルされています。

0
elbarna

(私の答えは@Greenonlineの答えに似ていますが、コメントのコード形式が混雑する可能性があるため、個別に投稿しています)。

動作するはずですが、フォーマットを非常に具体的にする必要があります。

1)編集/etc/mail/sendmail.mc
2)以下を追加します:

LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3

(すでにLOCAL_CONFIGセクションがある場合は、その下にオプションを追加します)。

3)sendmailのバウンス:/etc/init.d/sendmail restart

覚えておくべき重要な部分は次のとおりです。

  • Oプレフィックスが必要です。
  • これはLOCAL_CONFIGセクションに配置する必要があります。

わかりやすくするために、これらのオプションを分類してみましょう。

  • CipherList=HIGHは、sendmailに対して、OpenSSLに従って「高」として分類された暗号のみとネゴシエートするように指示します(現在、鍵の長さが128ビットを超える暗号スイートと、128ビットの鍵を使用する一部の暗号スイートを意味します)。これらは常に変化しているため、opensslのドキュメント/リソースで直接確認することをお勧めします。
  • ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCEはSSLv2、SSLv3を無効にし、openssl/sendmailに、暗号を選択するときにクライアントの設定ではなくサーバーの設定を使用するように指示します。
  • ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3は上記とほとんど同じです— SSLv2またはSSLv3を使用しないでください—今回は、クライアント接続(アウトバウンド)を参照しています。
0
Mike B