É possível desativar o SSLv3 no Sendmail 8.14.3?

3

É possível desativar o SSLv3 no Sendmail 8.14.3?

As recomendações que eu encontrei são para usar -O ServerSSLOptions=... , mas essa opção não é reconhecida. Existe alguma outra maneira de desativar o SSLv3 sem alterar o código do Sendmail?

Se não, qual é a versão mais antiga do Sendmail na qual o SSLv3 pode ser desativado?

Obrigado pela sua ajuda.

    
por a.d23 25.01.2015 / 15:33

5 respostas

4

Qual é o erro que você recebe quando você digita seu comando ...?

No entanto, você pode tentar modificar a seção LOCAL_CONFIG do arquivo sendmail.mc , em vez de especificar a opção na linha de comando.

CipherList=HIGH

ServerSSLOptions= +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE

ClientSSLOptions= +SSL_OP_NO_SSLv3

A resposta é modificada a partir da fonte: POODLE Desactivar o suporte SSLv3 nos servidores

    
por 25.01.2015 / 16:56
1

no caso do Centos OS, opções como ServerSSLOptions ou ClientSSLOptions provavelmente foram retornadas também para as atualizações mais recentes dos pacotes rmail do sendmail v8.13.8 ..?

porque o sendmail-8-13.8-2.el5 do Centos 5 não conhece essas opções (sendmail retorna erro: "nome da opção desconhecida ServerSSLOptions" etc.), enquanto sendmail-8-13.8-10.el5_11 das últimas "atualizações "diretório do Centos 5.11 já conhece essas opções ..

    
por 23.09.2015 / 14:10
0

(Minha resposta é semelhante à do @ Greenonline, mas estou publicando separadamente, pois a formatação do código nos comentários pode ficar lotada).

Deve funcionar, mas você precisa ser muito específico na formatação.

1) Editar /etc/mail/sendmail.mc
2) Adicione o seguinte:

LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3

(se você já tem uma seção LOCAL_CONFIG , adicione as opções abaixo).

3) Bounce sendmail: /etc/init.d/sendmail restart

As principais partes a ter em mente são:

  • O prefixo O é necessário.
  • Esse material deve estar na seção LOCAL_CONFIG .

Vamos detalhar essas opções para melhorar a clareza:

  • CipherList=HIGH diz ao sendmail para negociar apenas com cifras que são categorizadas como “altas” de acordo com o OpenSSL (que atualmente significa conjuntos de cifras com comprimentos de chave maiores que 128 bits e alguns conjuntos de cifras com chaves de 128 bits). Como eles estão sempre mudando, é melhor verificar diretamente com a documentação / recursos do openssl sobre isso.
  • ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE desativa SSLv2, SSLv3 e informa ao openssl / sendmail para usar as preferências do servidor, em vez das preferências do cliente, ao escolher uma cifra.
  • ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 é praticamente o mesmo que acima - não use SSLv2 ou SSLv3 - mas, desta vez, está se referindo a conexões de clientes (saída).
por 26.01.2015 / 20:03
0

Sendmail ServerSSLOptions [sendmail-8.15.1]

ServerSSLOptions support foi adicionado no sendmail-8.15.1

link

    
por 30.01.2015 / 04:18
0

É possível com linhas semelhantes a isto para yourconfigm4.mc

FEATURE(access_db)dnl
define('confCACERT_PATH', '/etc/pki/certs')dnl
define('confCACERT', '/etc/pki/certs/server.crt')dnl
define('confSERVER_CERT', '/etc/pki/certs/server.site.crt')dnl
define('confSERVER_KEY', '/etc/pki/certs/private.key')dnl
define('confCLIENT_CERT', '/etc/pki/certs/server.site.crt')dnl
define('confCLIENT_KEY', '/etc/pki/certs/private.key')dnl
O DHParameters=/etc/pki/private/dhparams.pem
LOCAL_CONFIG
dnl# Do not allow the weak SSLv2:
O CipherList=HIGH:!ADH-DES-CBC3-SHA:!ADH-AES128-SHA:!ADH-AES256-SHA:!ADH-CAMELLIA128-SHA:!ADH-CAMELLIA256-SHA:!DH-AES128-SHA256:!DH-AES256-SHA256:!aNULL:!DES:!3DES:!MD5:!DES+MD5:!RC4
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3

e sendmail 15.1 que você pode encontrar pré-compilados no repositório csw para solaris.

    
por 27.01.2016 / 05:14