Сайтслабыйdh.orgобъясняет, как исправить Postfix, чтобы противостоять слабой атаке Диффи-Хеллмана, называемой «logjam».
Но разве мне не нужно исправить курьера тоже? Или мне нужно перейти на Dovecot, чтобы быть в безопасности от logjam?
решение1
я нашелэтот пост в блогеэто довольно хорошо объясняет.
Чтобы ускорить этот процесс, сначала проверьте, есть ли у вас уже хорошие параметры в /etc/ssl/certs/dhparams.pemпроверке
openssl dhparam -text -noout -in /etc/ssl/certs/dhparams.pem
если так, скопируйте их /etc/courier/dhparams.pemв
cp -a /etc/ssl/certs/dhparams.pem /etc/courier/dhparams.pem
в противном случае сгенерировать с помощью
openssl dhparam -out /etc/courier/dhparams.pem 4096
В версии Courrier 4.15 удален параметр TLS_DHCERTFILEиз файлов конфигурации imap и pop3d. Параметры DH и только параметры DH считываются из нового файла TLS_DHPARAMS (и другая функциональность TLS_DHCERTFILE для сертификатов DSA объединена с TLS_CERTFILE). После обновления запустите скрипт mkdhparams, чтобы создать новый файл TLS_DHPARAMS.
Поэтому проверьте установленную версию с помощью
apt-cache show courier-imap-ssl|grep Version
Если у вас версия не ниже 4.15, теперь отредактируйте /etc/courier/imapd-sslи установите
TLS_DHPARAMS=/etc/courier/dhparams.pem
перезапустите courier-imap-ssl:
/etc/init.d/courier-imap-ssl restart
проверьте соединение с openssl версии 1.0.2a.
openssl s_client -host <yourhost.org> -port 993
решение2
При использовании Courier необходимо убедиться, что параметры Диффи-Хеллмана генерируются /etc/courier/dhparams.pemс битами больше, чем 768 по умолчанию. Думаю, 2048 или 4096 бит должно подойти.
Вместо использования mkdhparamsдля генерации dhparams.pem(по умолчанию всего 768 бит!) вы можете сделать это следующим образом:
openssl dhparam -out /etc/courier/dhparams.pem 2048
service courier-mta-ssl restart
Вот некоторая информация (на немецком языке) и дополнительная информация о том, каксмягчить атаку Logjam на Courier-MTA.