Home » FreeBSD » Disable SSLv3 (sendmail) (Tag: )

Disable SSLv3 (sendmail)

2014/12/26 19:02

Disable SSLv3 (bsdftpd-ssl) に続いて、POODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれる攻撃方法を回避するために sendmail で SSL 3.0 を無効化します。

sendmail.cf に以下の内容を追加後、再起動することで無効化が可能です。

LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3

ただし、メールヘッダ内やメールログでは

Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
        by hs.drive.ne.jp with ESMTP id sBMLWomT012899
        (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256);
        Fri, 26 Dec 2014 06:32:50 +0900 (JST)

無効化されているのかが良く分かりません。tls.c を修正することでプロトコル名を表示してみました。

# diff update/tls.c sendmail-8.14.9/sendmail/tls.c
1241,1242c1241
<       /* s = SSL_CIPHER_get_version(c); */
<       s = SSL_get_version(ssl);
---
>       s = SSL_CIPHER_get_version(c);

Becky! Internet Mail (2.69.00) -> メールボックス -> プロパティ -> 詳細 -> 送信用 で値を変更してヘッダ内を確認します。

tls.c 修正後 – "over SSL 3.0"

Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
        by hs.drive.ne.jp with ESMTP id sBMLZHcL016429
        (version=SSLv3 cipher=DES-CBC3-SHA bits=112);
        Fri, 26 Dec 2014 06:35:17 +0900 (JST)

tls.c 修正後 – "over TLS 1.0"

Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
        by hs.drive.ne.jp with ESMTP id sBMLZxAV016433
        (version=TLSv1 cipher=AES256-SHA bits=256);
        Fri, 26 Dec 2014 06:35:41 +0900 (JST)

tls.c 修正後 – "デフォルト"

Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
        by hs.drive.ne.jp with ESMTP id sBMLafuU016578
        (version=TLSv1.2 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256);
        Fri, 26 Dec 2014 06:36:58 +0900 (JST)

Random Select

瀬底ビーチ (4)
瀬底島 (No. 1 – 172 号線散策) の続きです。前日程の雨ではありませんが小雨がパラつくこともあるこの日に、折角ですから瀬底ビーチをのぞいてみることにしました。悪天候のため営業は
国産 21 世紀雑穀米
こなゆきコラーゲン でお世話になっている タマチャンショップ が実に色々商品を出していることを知り、シャンプーや洗顔料と一緒に 国産 21 世紀雑穀米 を買ってみました。最近まで玄米や雑穀米にはまるで
南ぬ島 石垣空港 国内線
石垣島 (No. 12 – 味処 岩) の続きです。一度帰り、夜は 石垣島 (No. 3 – こてっぺん) を再び訪れて 3 日目は終わりました。翌日 05/07 は昼時のフラ
今帰仁城跡 (1)
沖縄本島 (No. 11 – 首里ほりかわ) の続きです。首里城には 2 度行ったことがありますが、沖縄には城跡が点在すると聞いています。今回は中城城跡と今帰仁城跡を訪れてみました。いずれ
タコライス 材料 (OLD EL PASO タコ・シーズニング)
自宅 de タコライス (OLD EL PASO タコ・シーズニング Part 2) の続きです。沖縄本島 (No. 42 – 払い戻し) で年内最後の沖縄旅行が中止となったので、久しぶり
豚骨醤油 青ネギラーメン 味こいめ 脂あっさり (1)
哲麺 (豚骨醤油 青ネギラーメン) で 哲麺 デビューしてから、1 日空けて再び訪れました。青ネギスイッチは Off に出来ましたが、まだ慣れないクリーミーなとんこつラーメンは印象に残っていて、少し時
ホットスナック, 枝豆, からっキュウ
私の自宅付近には徒歩 5 分圏内にセブンイレブンが 5 つもあります。ドミナント方式という呼び名もあり、単に集中してしまった訳ではなく意図しているそうです。出店の考え方 | セブン-イレブン?近くて便
八重山そば + チャーハン
黒島 (No. 6 – 黒島展望台) の続きです。黒島から戻って、やや遅いランチとすることにしました。知り合いから奨められていた 味処 岩 は石垣港離島ターミナルから歩ける距離なので、黒島
VAIO Fit 13A (背面)
現在使用している機器の IPMI モジュールによるリモートコンソールの操作や、一時期使用していた Qlogic SB5600Q-20A の管理画面では依然として Java を必要としています。起動に時
シロ (3)
沖縄本島 (No. 52 – 猫丸庵 Part 1) の続きです。注文を決める前から、猫好きな私たちメンバーのために女将が小道具を用意してこちらに引き付けてくれました。手のひらサイズのパッ
Valid HTML5 Valid CSS3 Another HTML Lint