O sitefracodh.orgexplica como consertar o postfix contra o ataque fraco Diffie-Hellman chamado "logjam".
Mas não tenho que consertar o correio também? Ou eu tenho que migrar para o dovecot para ser seguro?
Responder1
eu encontreiesta postagem do blogisso explica muito bem.
Para agilizar isso, primeiro verifique se você já possui bons parâmetros em /etc/ssl/certs/dhparams.pemverificação com
openssl dhparam -text -noout -in /etc/ssl/certs/dhparams.pem
se sim, copie-os /etc/courier/dhparams.pemcom
cp -a /etc/ssl/certs/dhparams.pem /etc/courier/dhparams.pem
caso contrário, gerar com
openssl dhparam -out /etc/courier/dhparams.pem 4096
Courrier versão 4.15 remove o parâmetro TLS_DHCERTFILEdo imap e dos arquivos de configuração pop3d. Os parâmetros DH, e apenas os parâmetros DH, são lidos no novo arquivo TLS_DHPARAMS (e as outras funcionalidades de TLS_DHCERTFILE, para certificados DSA, são mescladas em TLS_CERTFILE). Após a atualização, execute o script mkdhparams para criar um novo arquivo TLS_DHPARAMS.
Portanto, verifique sua versão instalada com
apt-cache show courier-imap-ssl|grep Version
Se você tiver pelo menos a versão 4.15, agora edite /etc/courier/imapd-ssle defina
TLS_DHPARAMS=/etc/courier/dhparams.pem
reinicie o courier-imap-ssl:
/etc/init.d/courier-imap-ssl restart
verifique a conexão com o openssl versão 1.0.2a.
openssl s_client -host <yourhost.org> -port 993
Responder2
Ao usar o courier, você precisa se certificar de que os parâmetros Diffie-Hellman /etc/courier/dhparams.pemsejam gerados com mais do que o padrão de 768 bits. Eu acho que 2.048 ou 4.096 bits devem servir.
Em vez de usar mkdhparamsto generate dhparams.pem(com apenas 768 bits por padrão!), você poderia fazer assim:
openssl dhparam -out /etc/courier/dhparams.pem 2048
service courier-mta-ssl restart
Aqui estão algumas informações (em alemão) e algumas leituras adicionais sobre comomitigar o ataque Logjam ao Courier-MTA.