Estou me preparando para implantar um novo servidor SMTP e não sei como garantir que ele esteja usando criptografia strong. O software do servidor é Postfix executando somente SMTP. Adicionei o seguinte ao arquivo main.cf (roubado de aqui ):
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5
smtpd_tls_security_level = encrypt
smtpd_tls_mandatory_protocols = TLSv1
# Also available with Postfix ≥ 2.5:
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
Reiniciei o daemon e tudo parece funcionar como planejado, mas não sei como testar se apenas os cyphers strongs estão habilitados. O seguinte me permite conectar, mas não tenho certeza de qual combinação de sinalizadores ( -no_ssl3 , -no_tls1 , etc) usar para garantir que apenas a criptografia strong seja habilitada.
openssl s_client -starttls smtp -crlf -connect mail.mysite.com:25
Você pode testar as cifras individuais usando a opção -cipher <cipherspec> (consulte o manual do OpenSSL para obter mais informações sobre essa opção e como escrever especificações de cifras).
No seu caso, você pode especificar um cipherspec de todas as cifras de baixa qualidade que você não deseja usar, e seu servidor deve rejeitar a tentativa.
Você também deve testar os códigos que você quer que eles usem (individualmente) para ter certeza de que funcionam.