É possível desativar o SSLv3 no Sendmail 8.14.3?
As recomendações que eu encontrei são para usar -O ServerSSLOptions=... , mas essa opção não é reconhecida. Existe alguma outra maneira de desativar o SSLv3 sem alterar o código do Sendmail?
Se não, qual é a versão mais antiga do Sendmail na qual o SSLv3 pode ser desativado?
Obrigado pela sua ajuda.
Qual é o erro que você recebe quando você digita seu comando ...?
No entanto, você pode tentar modificar a seção LOCAL_CONFIG do arquivo sendmail.mc , em vez de especificar a opção na linha de comando.
CipherList=HIGH
ServerSSLOptions= +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
ClientSSLOptions= +SSL_OP_NO_SSLv3
A resposta é modificada a partir da fonte: POODLE Desactivar o suporte SSLv3 nos servidores
no caso do Centos OS, opções como ServerSSLOptions ou ClientSSLOptions provavelmente foram retornadas também para as atualizações mais recentes dos pacotes rmail do sendmail v8.13.8 ..?
porque o sendmail-8-13.8-2.el5 do Centos 5 não conhece essas opções (sendmail retorna erro: "nome da opção desconhecida ServerSSLOptions" etc.), enquanto sendmail-8-13.8-10.el5_11 das últimas "atualizações "diretório do Centos 5.11 já conhece essas opções ..
(Minha resposta é semelhante à do @ Greenonline, mas estou publicando separadamente, pois a formatação do código nos comentários pode ficar lotada).
Deve funcionar, mas você precisa ser muito específico na formatação.
1) Editar /etc/mail/sendmail.mc
2) Adicione o seguinte:
LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
(se você já tem uma seção LOCAL_CONFIG , adicione as opções abaixo).
3) Bounce sendmail: /etc/init.d/sendmail restart
As principais partes a ter em mente são:
O é necessário. LOCAL_CONFIG . Vamos detalhar essas opções para melhorar a clareza:
CipherList=HIGH diz ao sendmail para negociar apenas com cifras que são categorizadas como “altas” de acordo com o OpenSSL (que atualmente significa conjuntos de cifras com comprimentos de chave maiores que 128 bits e alguns conjuntos de cifras com chaves de 128 bits). Como eles estão sempre mudando, é melhor verificar diretamente com a documentação / recursos do openssl sobre isso. ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE desativa SSLv2, SSLv3 e informa ao openssl / sendmail para usar as preferências do servidor, em vez das preferências do cliente, ao escolher uma cifra. ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 é praticamente o mesmo que acima - não use SSLv2 ou SSLv3 - mas, desta vez, está se referindo a conexões de clientes (saída). ServerSSLOptions support foi adicionado no sendmail-8.15.1
É possível com linhas semelhantes a isto para yourconfigm4.mc
FEATURE(access_db)dnl
define('confCACERT_PATH', '/etc/pki/certs')dnl
define('confCACERT', '/etc/pki/certs/server.crt')dnl
define('confSERVER_CERT', '/etc/pki/certs/server.site.crt')dnl
define('confSERVER_KEY', '/etc/pki/certs/private.key')dnl
define('confCLIENT_CERT', '/etc/pki/certs/server.site.crt')dnl
define('confCLIENT_KEY', '/etc/pki/certs/private.key')dnl
O DHParameters=/etc/pki/private/dhparams.pem
LOCAL_CONFIG
dnl# Do not allow the weak SSLv2:
O CipherList=HIGH:!ADH-DES-CBC3-SHA:!ADH-AES128-SHA:!ADH-AES256-SHA:!ADH-CAMELLIA128-SHA:!ADH-CAMELLIA256-SHA:!DH-AES128-SHA256:!DH-AES256-SHA256:!aNULL:!DES:!3DES:!MD5:!DES+MD5:!RC4
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
e sendmail 15.1 que você pode encontrar pré-compilados no repositório csw para solaris.