このサーバーで PCI セキュリティ スキャンを実行すると、ポート 25 で次のエラーが発生して失敗します。
SSL サーバーは弱い暗号化をサポートしています nCircle ID: 6174 ポート: 25 CVSS スコア: 5.8 非準拠 説明 SSL (Secure Socket Layer) サーバーは、長さが 128 ビット未満である暗号化キーとして定義される弱い暗号化キーをサポートしています。弱い暗号化キーで暗号化されたメッセージは、権限のないユーザーが比較的簡単に復号化できます。
/etc/postfix/main.cf をさまざまな変更を加えて修正してみました。
- postconf -e smtpd_tls_mandatory_protocols="SSLv3、TLSv1"
- postconf -e smtpd_tls_mandatory_ciphers="高"
- postconf -e smtpd_tls_exclude_ciphers="SSLv2、aNULL、ADH、eNULL"
運が悪かった。スキャンに失敗した唯一のポートです。Web および IMAP ポートはすべて正常です。
ご提案があれば歓迎します。
答え1
1つの文書PCI コンプライアンスには次の設定が推奨されていることがわかりました。
postconf -e smtpd_tls_ciphers=medium
postconf -e smtpd_tls_protocols=\!SSLv2
postconf -e smtpd_tls_mandatory_ciphers=high
postconf -e smtpd_tls_exclude_ciphers="aNULL, MD5, DES"
次に、念のため postfix デーモンを再起動します。
このドキュメントは実際には関係のない VMWare 製品に関するものですが、postfix は postfix ですよね?
;-)