Postfix: Desabilitando SSLv3 (Poodle Vulnerability)
Dica publicada em Linux / Correio Eletrônico
Postfix: Desabilitando SSLv3 (Poodle Vulnerability)
Olá!
Nesta dica, irei tratar de uma correção nas configurações do Postfix para uma vulnerabilidade reportada sobre o SSLv3, conhecido como POODLE.
Caso deseje mais informações sobre a vulnerabilidade, acesse estas documentações:
Primeiramente, para verificar se o seu servidor está utilizando o SSL v3, utilize o comando abaixo:
# openssl s_client -connect SERVIDOR:25 -ssl3 -starttls smtp
Se a conexão falhar com o erro: ssl handshake failure
...seu servidor não está utilizando o SSL3, portanto, não está vulnerável a este ataque.
Caso o seu servidor esteja utilizando o SSL3, modifique os seguintes parâmetros no arquivo de configuração (main.cf) do Postfix:
Efetue um RELOAD no serviço do Postfix e teste novamente.
Obrigado,
Respirando Linux, por Fabio Soares Schmidt.
Nesta dica, irei tratar de uma correção nas configurações do Postfix para uma vulnerabilidade reportada sobre o SSLv3, conhecido como POODLE.
Caso deseje mais informações sobre a vulnerabilidade, acesse estas documentações:
- https://www.openssl.org/~bodo/ssl-poodle.pdf
- SSL é vulnerável ao ataque POODLE. Veja em destalhes! | Comunidade GNU/Linux SempreUpdate
Primeiramente, para verificar se o seu servidor está utilizando o SSL v3, utilize o comando abaixo:
# openssl s_client -connect SERVIDOR:25 -ssl3 -starttls smtp
Se a conexão falhar com o erro: ssl handshake failure
...seu servidor não está utilizando o SSL3, portanto, não está vulnerável a este ataque.
Caso o seu servidor esteja utilizando o SSL3, modifique os seguintes parâmetros no arquivo de configuração (main.cf) do Postfix:
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtp_tls_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtp_tls_protocols = !SSLv2,!SSLv3
Efetue um RELOAD no serviço do Postfix e teste novamente.
Obrigado,
Respirando Linux, por Fabio Soares Schmidt.