El sitiodébildh.orgexplica cómo reparar postfix contra el débil ataque Diffie-Hellman llamado "logjam".
¿Pero no tengo que arreglar también el servicio de mensajería? ¿O tengo que migrar a Dovecot para estar a salvo de atascos?
Respuesta1
encontréesta publicación de blogeso lo explica bastante bien.
Para acelerar esto, primero verifique si ya tiene buenos parámetros verificados /etc/ssl/certs/dhparams.pemcon
openssl dhparam -text -noout -in /etc/ssl/certs/dhparams.pem
Si es así, cópielos /etc/courier/dhparams.pemcon
cp -a /etc/ssl/certs/dhparams.pem /etc/courier/dhparams.pem
de lo contrario generar con
openssl dhparam -out /etc/courier/dhparams.pem 4096
Courrier versión 4.15 elimina el parámetro TLS_DHCERTFILEdesde archivos de configuración imap y pop3d. Los parámetros DH, y solo los parámetros DH, se leen desde el nuevo archivo TLS_DHPARAMS (y la otra funcionalidad de TLS_DHCERTFILE, para certificados DSA, se fusiona en TLS_CERTFILE). Después de actualizar, ejecute el script mkdhparams para crear un nuevo archivo TLS_DHPARAMS.
Así que verifique su versión instalada con
apt-cache show courier-imap-ssl|grep Version
Si tiene al menos la versión 4.15, ahora edite /etc/courier/imapd-ssly configure
TLS_DHPARAMS=/etc/courier/dhparams.pem
reiniciar mensajería-imap-ssl:
/etc/init.d/courier-imap-ssl restart
verifique la conexión con openssl versión 1.0.2a.
openssl s_client -host <yourhost.org> -port 993
Respuesta2
Cuando utilice mensajería, debe asegurarse de que los parámetros Diffie-Hellman /etc/courier/dhparams.pemse generen con más de 768 bits predeterminados. Supongo que 2048 o 4096 bits deberían ser suficientes.
En lugar de usar mkdhparamspara generar dhparams.pem(¡con solo 768 bits por defecto!), puedes hacerlo de esa manera:
openssl dhparam -out /etc/courier/dhparams.pem 2048
service courier-mta-ssl restart
Aquí hay información (en alemán) y algunas lecturas adicionales sobre cómomitigar el ataque Logjam en Courier-MTA.