Isso ocorre porque, após uma atualização recente do openssl no CentOS 6, openssl-1.0.1e-30.el6.11.x86_64
, os programas que usam essa biblioteca começaram a recusar a conexão com servidores vulneráveis a Logjam TLS.
Você precisa configurar o sendmail para usar uma chave Diffie – Hellman temporária mais strong - pelo menos 1024 bits. Não é a mesma chave que você usa em seu certificado TLS, portanto, se o seu certificado usa a chave de 2048 bits, você ainda pode estar vulnerável.
Gerar o arquivo de parâmetros DH no seu servidor:
openssl dhparam -out /etc/pki/tls/certs/dhparams.pem 1024
Configure o sendmail para usar este arquivo de parâmetros e para usar somente cifras strongs. Adicionar a /etc/mail/sendmail.mc
:
LOCAL_CONFIG
O CipherList=HIGH:!ADH
O DHParameters=/etc/pki/tls/certs/dhparams.pem
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
Em seguida, use make -C /etc/mail/
e service sendmail restart
.