Disable SSLv3 (bsdftpd-ssl) に続いて、POODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれる攻撃方法を回避するために sendmail で SSL 3.0 を無効化します。
sendmail.cf に以下の内容を追加後、再起動することで無効化が可能です。
LOCAL_CONFIG O CipherList=HIGH O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
ただし、メールヘッダ内やメールログでは
Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
by hs.drive.ne.jp with ESMTP id sBMLWomT012899
(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256);
Fri, 26 Dec 2014 06:32:50 +0900 (JST)
無効化されているのかが良く分かりません。tls.c を修正することでプロトコル名を表示してみました。
# diff update/tls.c sendmail-8.14.9/sendmail/tls.c 1241,1242c1241 < /* s = SSL_CIPHER_get_version(c); */ < s = SSL_get_version(ssl); --- > s = SSL_CIPHER_get_version(c);
Becky! Internet Mail (2.69.00) -> メールボックス -> プロパティ -> 詳細 -> 送信用 で値を変更してヘッダ内を確認します。
tls.c 修正後 – "over SSL 3.0"
Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
by hs.drive.ne.jp with ESMTP id sBMLZHcL016429
(version=SSLv3 cipher=DES-CBC3-SHA bits=112);
Fri, 26 Dec 2014 06:35:17 +0900 (JST)
tls.c 修正後 – "over TLS 1.0"
Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
by hs.drive.ne.jp with ESMTP id sBMLZxAV016433
(version=TLSv1 cipher=AES256-SHA bits=256);
Fri, 26 Dec 2014 06:35:41 +0900 (JST)
tls.c 修正後 – "デフォルト"
Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
by hs.drive.ne.jp with ESMTP id sBMLafuU016578
(version=TLSv1.2 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256);
Fri, 26 Dec 2014 06:36:58 +0900 (JST)
