Ubuntu
Postfix 埠 25 上的 BEAST(針對 SSL/TLS 的瀏覽器漏洞利用)漏洞
我的 PCI 兼容掃描失敗。我已經成功地將 RC4 密碼用於 Apache 設置,但我的 Postfix 配置仍未修復。我應該在我的 main.cf 文件中使用什麼 TLS 配置。
我目前的配置如下
# TLS parameters smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key smtpd_use_tls=yes tls_preempt_cipherlist = yes smtpd_tls_protocols = !SSLv2 smtpd_tls_mandatory_protocols = !SSLv2, SSLv3 smtpd_tls_cipherlist = RC4-SHA:+TLSv1:!SSLv2:+SSLv3:!aNULL:!NULL smtp_tls_cipherlist = RC4-SHA:+TLSv1:!SSLv2:+SSLv3:!aNULL:!NULL smtpd_tls_security_level = encrypt
您的審核員知道 BEAST 中的 B 代表BROWSER對嗎?
對於像 MUA 這樣的非瀏覽器客戶端來說,洩露足夠的資訊以危及安全性是非常不切實際的(雖然是的,但並非完全不可能)。
也就是說,您應該能夠像使用
_cipherlist
Apache 一樣使用各種參數。您應該確保不提供任何易受攻擊的密碼(我相信您目前使用該密碼列表,但我沒有查看擴展列表,所以我可能是錯的)。如果這會導緻密碼協商出現問題,您可能還需要關閉
tls_preempt_cypherlist
。正如其他人指出的那樣,您的郵件伺服器應該是一個獨立的基礎設施(因此通常不在 PCI 審計的範圍之內。
如果您的審計員正在四處尋找可能更容易修補它以關閉它們,但如果您的郵件伺服器本身並不是一個孤島,你真的需要重新架構它。這只是標準的安全最佳實踐。