網站弱DH.org解釋瞭如何修復 postfix 來抵禦稱為「logjam」的弱 Diffie-Hellman 攻擊。
但我不是也得修快遞嗎?或者我必須遷移到鴿舍才能避免堵塞?
答案1
我發現這篇博文這很好地解釋了這一點。
為了加快速度,請先檢查您是否已經擁有良好的/etc/ssl/certs/dhparams.pem參數
openssl dhparam -text -noout -in /etc/ssl/certs/dhparams.pem
如果是的話將它們複製/etc/courier/dhparams.pem到
cp -a /etc/ssl/certs/dhparams.pem /etc/courier/dhparams.pem
否則生成
openssl dhparam -out /etc/courier/dhparams.pem 4096
Courier 版本 4.15 刪除了 TLS_DHCERTFILE 參數來自 imap 和 pop3d 設定檔。 DH 參數(且僅限 DH 參數)從新的 TLS_DHPARAMS 檔案中讀取(對於 DSA 證書,TLS_DHCERTFILE 的其他功能將合併到 TLS_CERTFILE 中)。升級後,執行 mkdhparams 腳本建立新的 TLS_DHPARAMS 檔案。
所以檢查你安裝的版本
apt-cache show courier-imap-ssl|grep Version
如果您至少有版本 4.15,現在編輯/etc/courier/imapd-ssl並設定
TLS_DHPARAMS=/etc/courier/dhparams.pem
重新啟動 courier-imap-ssl:
/etc/init.d/courier-imap-ssl restart
檢查 openssl 版本 1.0.2a 的連線。
openssl s_client -host <yourhost.org> -port 993
答案2
使用 courier 時,需要確保/etc/courier/dhparams.pem產生的 Diffie-Hellman 參數大於預設的 768 位元。我想 2048 或 4096 位元應該可以。
您可以這樣做,而不是使用mkdhparams來產生(預設只有 768 位元!):dhparams.pem
openssl dhparam -out /etc/courier/dhparams.pem 2048
service courier-mta-ssl restart
這裡有一些資訊(德語)和一些關於如何的進一步閱讀減輕對 Courier-MTA 的 Logjam 攻擊。