サイト弱音ハク「logjam」と呼ばれる弱い Diffie-Hellman 攻撃に対して postfix を修正する方法を説明します。
しかし、Courier も修正する必要があるのではないですか? それとも、logjam を安全にするために dovecot に移行する必要がありますか?
答え1
私は見つけたこのブログ投稿それはそれを非常によく説明しています。
これをスピードアップするには、まず、すでに適切なパラメータが/etc/ssl/certs/dhparams.pemチェックされているかどうかを確認します。
openssl dhparam -text -noout -in /etc/ssl/certs/dhparams.pem
もしそうなら、それらをコピーし/etc/courier/dhparams.pemて
cp -a /etc/ssl/certs/dhparams.pem /etc/courier/dhparams.pem
それ以外の場合は生成する
openssl dhparam -out /etc/courier/dhparams.pem 4096
Courrierバージョン4.15ではTLS_DHCERTFILEパラメータが削除されましたimap および pop3d 構成ファイルから。DH パラメータのみが新しい TLS_DHPARAMS ファイルから読み取られます (DSA 証明書用の TLS_DHCERTFILE のその他の機能は TLS_CERTFILE に統合されます)。アップグレード後、mkdhparams スクリプトを実行して新しい TLS_DHPARAMS ファイルを作成します。
インストールしたバージョンを確認するには
apt-cache show courier-imap-ssl|grep Version
バージョン4.15以上をお持ちの場合は、編集し/etc/courier/imapd-sslて設定してください。
TLS_DHPARAMS=/etc/courier/dhparams.pem
courier-imap-sslを再起動します:
/etc/init.d/courier-imap-ssl restart
openssl バージョン 1.0.2a で接続を確認します。
openssl s_client -host <yourhost.org> -port 993
答え2
/etc/courier/dhparams.pemcourier を使用する場合は、Diffie-Hellman パラメータがデフォルトの 768 ビット以上で生成されるようにする必要があります。2048 ビットまたは 4096 ビットで十分だと思います。
mkdhparams生成するために (デフォルトでは 768 ビットのみで)を使用して生成する代わりに、dhparams.pem次のように実行できます。
openssl dhparam -out /etc/courier/dhparams.pem 2048
service courier-mta-ssl restart
ここにいくつかの情報(ドイツ語)と、さらに詳しい情報があります。Courier-MTA に対する Logjam 攻撃を軽減します。