Exceção do navegador contra SSL / TLS Vulnerabilidade na porta 25 para Postfix

3

Não estou conseguindo uma varredura compatível com PCI. Eu usei com sucesso as cifras RC4 para a configuração do Apache, mas a configuração do Postfix ainda não foi corrigida. Qual configuração do TLS devo usar no meu arquivo main.cf.

minha configuração atual é a seguinte

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
tls_preempt_cipherlist = yes
smtpd_tls_protocols = !SSLv2
smtpd_tls_mandatory_protocols = !SSLv2, SSLv3
smtpd_tls_cipherlist = RC4-SHA:+TLSv1:!SSLv2:+SSLv3:!aNULL:!NULL
smtp_tls_cipherlist = RC4-SHA:+TLSv1:!SSLv2:+SSLv3:!aNULL:!NULL
smtpd_tls_security_level = encrypt
    
por Abdul Haseeb 05.12.2012 / 13:31

1 resposta

3

O seu auditor está ciente de que o B em BEAST significa BROWSER certo?
É praticamente impraticável (embora sim, não inteiramente impossível) que um cliente que não seja um navegador, como um MUA, vaze informações suficientes para comprometer a segurança.

Dito isto, você deve ser capaz de usar os vários parâmetros _cipherlist como fez para o Apache. Você deve certificar-se de não oferecer nenhuma cifra vulnerável (acredito que você atualmente faz com essa lista de cifras, mas eu não estou olhando para as listas expandidas para que eu possa estar errado).

Você também pode desativar tls_preempt_cypherlist caso isso esteja causando problemas na negociação de cifras.

Como outros apontaram, seu servidor de e-mail deve ser uma infraestrutura isolada (e, portanto, geralmente fora do escopo de uma auditoria PCI ). Se o seu auditor estiver bisbilhotando, provavelmente é mais fácil apenas consertá-lo para calá-lo, mas se o seu servidor de e-mail não é uma ilha em si, você realmente precisa se reestruturar para que assim seja. Isso é apenas as práticas recomendadas de segurança padrão.

    
por 05.12.2012 / 16:36