При запуске сканирования безопасности PCI на этом сервере происходит сбой на порту 25 со следующим сообщением:
SSL-сервер поддерживает слабое шифрование nCircle ID: 6174 Порт: 25 Оценка CVSS: 5,8 Не соответствует Описание SSL-сервер (Secure Socket Layer) поддерживает слабые ключи шифрования, которые определяются как ключи шифрования длиной менее 128 бит. Сообщения, зашифрованные слабыми ключами шифрования, относительно легко расшифровываются неавторизованным пользователем.
Я попробовал изменить /etc/postfix/main.cf, внеся различные изменения:
- postconf -e smtpd_tls_mandatory_protocols="SSLv3,TLSv1"
- postconf -e smtpd_tls_mandatory_ciphers="high"
- postconf -e smtpd_tls_exclude_ciphers="SSLv2,aNULL,ADH,eNULL"
Не повезло. Это единственный порт, который не проходит сканирование. Мои веб- и IMAP-поты в порядке.
Будем признательны за любые предложения.
решение1
Один документЯ нашел следующие рекомендуемые настройки для соответствия PCI:
postconf -e smtpd_tls_ciphers=medium
postconf -e smtpd_tls_protocols=\!SSLv2
postconf -e smtpd_tls_mandatory_ciphers=high
postconf -e smtpd_tls_exclude_ciphers="aNULL, MD5, DES"
Затем перезапустите демон postfix для верности.
Документ на самом деле для неродственного продукта VMWare, но postfix есть postfix, верно?
;-)