Beim Ausführen von PCI-Sicherheitsscans auf diesem Server schlägt es auf Port 25 mit folgendem Fehler fehl:
SSL-Server unterstützt schwache Verschlüsselung nCircle-ID: 6174 Port: 25 CVSS-Score: 5,8 Nicht konform Beschreibung Der SSL-Server (Secure Socket Layer) unterstützt schwache Verschlüsselungsschlüssel, die als Verschlüsselungsschlüssel mit einer Länge von weniger als 128 Bit definiert sind. Mit schwachen Verschlüsselungsschlüsseln verschlüsselte Nachrichten können von einem nicht autorisierten Benutzer relativ leicht entschlüsselt werden.
Ich habe versucht, /etc/postfix/main.cf mit verschiedenen Änderungen zu modifizieren:
- postconf -e smtpd_tls_mandatory_protocols="SSLv3,TLSv1"
- postconf -e smtpd_tls_mandatory_ciphers="hoch"
- postconf -e smtpd_tls_exclude_ciphers="SSLv2,aNULL,ADH,eNULL"
Kein Glück. Dies ist der einzige Port, bei dem der Scan fehlschlägt. Meine Web- und IMAP-Ports sind alle in Ordnung.
Alle Vorschläge sind willkommen.
Antwort1
Ein DokumentIch habe festgestellt, dass die folgenden Einstellungen zur PCI-Konformität empfohlen werden:
postconf -e smtpd_tls_ciphers=medium
postconf -e smtpd_tls_protocols=\!SSLv2
postconf -e smtpd_tls_mandatory_ciphers=high
postconf -e smtpd_tls_exclude_ciphers="aNULL, MD5, DES"
Starten Sie dann sicherheitshalber den Postfix-Daemon neu.
Das Dokument bezieht sich eigentlich auf ein nicht verwandtes VMWare-Produkt, aber Postfix ist Postfix, oder?
;-)