Ainda estou usando o Dovecot v1 (1.1.20) em um servidor osx. Estou tentando desativar o SSLv2. Parece que a configuração padrão já a desativou:
ssl_cipher_list = ALL:!LOW:!SSLv2:!aNULL:!ADH:!eNULL
Mas quando eu testo meu servidor web com ssllabs, ele reclama que meu servidor de e-mail (pop, imap) é vulnerável por causa do uso de SSLv2 (mesma chave). Eu também tentei:
ssl_cipher_list = ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!RC4+RSA:+HIGH:+MEDIUM:!SSLv2
Sem mais sucesso.
Eu sei que este servidor precisa de uma grande atualização de software.
SSLv2 é um protocolo , não uma cifra. O "SSLv2" na lista de cifras representa várias cifras associadas ao SSLv2, não ao próprio protocolo.
No dovecot, o parâmetro não documentado ssl_protocols é usado para desativar determinados protocolos:
ssl_protocols = !SSLv2 !SSLv3
Isto existe no Dovecot v2; mas não sei se existe no Dovecot v1.