Sendmail 8.14.3でSSLv3を無効にすることは可能ですか?
私が見つけた推奨事項は-O ServerSSLOptions=...
を使用することですが、そのオプションは認識されません。 Sendmailコードを変更せずにSSLv3を無効にする他の方法はありますか?
そうでない場合、SSLv3を無効にできるSendmailの最も古いバージョンはどれですか?
ご協力いただきありがとうございます。
コマンドを入力したときに表示されるエラーは何ですか?
ただし、コマンドラインでオプションを指定する代わりに、LOCAL_CONFIG
ファイルのsendmail.mc
セクションを変更してみることができます。
CipherList=HIGH
ServerSSLOptions= +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
ClientSSLOptions= +SSL_OP_NO_SSLv3
回答はソースから変更されています: POODLEサーバーでのSSLv3サポートの無効化
centos OSの場合、ServerSSLOptionsまたはClientSSLOptionsとしてのオプションは、sendmail v8.13.8rpmパッケージの最新のアップデートにもバックポートされた可能性があります。
centos 5のsendmail-8-13.8-2.el5はこれらのオプションを認識しないため(sendmailはエラーを返します:「不明なオプション名ServerSSLOptions」など)、sendmail-8-13.8-10.el5_11はの最新の「updates」ディレクトリからCentos 5.11はすでにこれらのオプションを認識しています。
ServerSSLOptions
サポートがsendmail-8.15.1に追加されました
https://www.sendmail.com/sm/open_source/download/8.15.1/?show_rs=1#RS
Yourconfigm4.mcのこれに類似した行で可能です
FEATURE(access_db)dnl
define(`confCACERT_PATH', `/etc/pki/certs')dnl
define(`confCACERT', `/etc/pki/certs/server.crt')dnl
define(`confSERVER_CERT', `/etc/pki/certs/server.site.crt')dnl
define(`confSERVER_KEY', `/etc/pki/certs/private.key')dnl
define(`confCLIENT_CERT', `/etc/pki/certs/server.site.crt')dnl
define(`confCLIENT_KEY', `/etc/pki/certs/private.key')dnl
O DHParameters=/etc/pki/private/dhparams.pem
LOCAL_CONFIG
dnl# Do not allow the weak SSLv2:
O CipherList=HIGH:!ADH-DES-CBC3-SHA:!ADH-AES128-SHA:!ADH-AES256-SHA:!ADH-CAMELLIA128-SHA:!ADH-CAMELLIA256-SHA:!DH-AES128-SHA256:!DH-AES256-SHA256:!aNULL:!DES:!3DES:!MD5:!DES+MD5:!RC4
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
そして、sendmail 15.1は、solarisの csw リポジトリにプリコンパイルされています。
(私の答えは@Greenonlineの答えに似ていますが、コメントのコード形式が混雑する可能性があるため、個別に投稿しています)。
動作するはずですが、フォーマットを非常に具体的にする必要があります。
1)編集/etc/mail/sendmail.mc
2)以下を追加します:
LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
(すでにLOCAL_CONFIG
セクションがある場合は、その下にオプションを追加します)。
3)sendmailのバウンス:/etc/init.d/sendmail restart
覚えておくべき重要な部分は次のとおりです。
O
プレフィックスが必要です。LOCAL_CONFIG
セクションに配置する必要があります。わかりやすくするために、これらのオプションを分類してみましょう。
CipherList=HIGH
は、sendmailに対して、OpenSSLに従って「高」として分類された暗号のみとネゴシエートするように指示します(現在、鍵の長さが128ビットを超える暗号スイートと、128ビットの鍵を使用する一部の暗号スイートを意味します)。これらは常に変化しているため、opensslのドキュメント/リソースで直接確認することをお勧めします。ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
はSSLv2、SSLv3を無効にし、openssl/sendmailに、暗号を選択するときにクライアントの設定ではなくサーバーの設定を使用するように指示します。ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
は上記とほとんど同じです— SSLv2またはSSLv3を使用しないでください—今回は、クライアント接続(アウトバウンド)を参照しています。