在此伺服器上執行 PCI 安全掃描時,它在連接埠 25 上失敗,並顯示:
SSL 伺服器支援弱加密 nCircle ID:6174 連接埠:25 CVSS 分數:5.8 不合規 說明 SSL(安全通訊端層)伺服器支援弱加密金鑰,弱加密金鑰定義為長度小於 128 位元的加密金鑰。使用弱加密金鑰加密的訊息對於未經授權的用戶來說相對容易解密。
我嘗試過修改 /etc/postfix/main.cf 並進行各種更改:
- postconf -e smtpd_tls_mandatory_protocols =“SSLv3,TLSv1”
- postconf -e smtpd_tls_mandatory_ciphers=“高”
- postconf -e smtpd_tls_exclude_ciphers="SSLv2,aNULL,ADH,eNULL"
沒有運氣。這是掃描失敗的唯一連接埠。我的網路和 IMAP 鍋都很好。
任何建議表示讚賞。
答案1
一份文件我發現建議採用以下 PCI 合規性設定:
postconf -e smtpd_tls_ciphers=medium
postconf -e smtpd_tls_protocols=\!SSLv2
postconf -e smtpd_tls_mandatory_ciphers=high
postconf -e smtpd_tls_exclude_ciphers="aNULL, MD5, DES"
然後重新啟動 postfix 守護程式以達到良好的效果。
該文件實際上是針對一個不相關的 VMWare 產品,但 postfix 就是 postfix,對吧?
;-)