Home » FreeBSD » Disable SSLv3 (sendmail) (Tag: )

Disable SSLv3 (sendmail)

2014/12/26 19:02

Disable SSLv3 (bsdftpd-ssl) に続いて、POODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれる攻撃方法を回避するために sendmail で SSL 3.0 を無効化します。

sendmail.cf に以下の内容を追加後、再起動することで無効化が可能です。

LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3

ただし、メールヘッダ内やメールログでは

Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
        by hs.drive.ne.jp with ESMTP id sBMLWomT012899
        (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256);
        Fri, 26 Dec 2014 06:32:50 +0900 (JST)

無効化されているのかが良く分かりません。tls.c を修正することでプロトコル名を表示してみました。

# diff update/tls.c sendmail-8.14.9/sendmail/tls.c
1241,1242c1241
<       /* s = SSL_CIPHER_get_version(c); */
<       s = SSL_get_version(ssl);
---
>       s = SSL_CIPHER_get_version(c);

Becky! Internet Mail (2.69.00) -> メールボックス -> プロパティ -> 詳細 -> 送信用 で値を変更してヘッダ内を確認します。

tls.c 修正後 – "over SSL 3.0"

Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
        by hs.drive.ne.jp with ESMTP id sBMLZHcL016429
        (version=SSLv3 cipher=DES-CBC3-SHA bits=112);
        Fri, 26 Dec 2014 06:35:17 +0900 (JST)

tls.c 修正後 – "over TLS 1.0"

Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
        by hs.drive.ne.jp with ESMTP id sBMLZxAV016433
        (version=TLSv1 cipher=AES256-SHA bits=256);
        Fri, 26 Dec 2014 06:35:41 +0900 (JST)

tls.c 修正後 – "デフォルト"

Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
        by hs.drive.ne.jp with ESMTP id sBMLafuU016578
        (version=TLSv1.2 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256);
        Fri, 26 Dec 2014 06:36:58 +0900 (JST)

Random Select

野菜豆カレー (辛さ 20 倍)
カリーライス専門店 エチオピア 本店 (No. 7 – 辛さ 65 – 70 倍) の続きです。辛さ 70 倍を極めた後は、04/01 欧風カレー ボンディ (野菜カレー)04
brochure.pdf (PDF.js Viewer)
すでにお気づきの方も多いですし対処方法も多々報告されている様ですが、Firefox 19 から、PDF ファイルの表示に違和感を感じました。ウィンドウ自体のデザインが変わっただけでなく、フォントも変で
豚骨醤油 青ネギラーメン (1)
先日、愛知の友達の投稿でネギ入れ放題のラーメンを見てスイッチが入ってしまい、オフィス周辺で調べてはみたものの、調べた限りはカレーとラーメンの聖地 "神保町" でも見当たりません。小
Herb
Why rose ? で紹介した Herb とは意味合いが違いますが、先月社内横断プロジェクト Herb を決起しました。社内に限らず、自分の過去在籍した会社でも同様でしたし、また現在お付き合いのある
タコライス 材料 (OLD EL PASO タコ・シーズニング)
自宅 de タコライス (OLD EL PASO タコ・シーズニング Part 2) の続きです。沖縄本島 (No. 42 – 払い戻し) で年内最後の沖縄旅行が中止となったので、久しぶり
チキンカレー (辛さ 5 倍)
御茶ノ水界隈は 20 年来自分にとっての庭な街ですが、以前から存在は知っていたけど未開拓なお店に カリーライス専門店 エチオピア がありました。沖縄出張 (No. 8 ? Havana CURRY)
Drive Network Core (WS-C3750E-48TD-E)
Cisco config backup Tool では、Catalyst の標準的な Telnet パスワードでログインする場合を前提に作成しています。Catalyst ではスイッチ本体に登録するユー
新開発 ! 超クリーミー泡サーバー (19)
新開発 ! 超クリーミー泡サーバー (Part 3) の続きです。Part 3 で 30 点分の飛び道具がありましたが、292 点まで溜まりました。そろそろ締切が近付いてきたので、まずはフルセットで応
しお定食
出張 2 週間目の木曜日、そろそろ胃も疲れてくる頃ですがそんな気配は微塵も見せず、さて今日も普段行けないメンバーを揃えて 5 人で出発しました。当初 沖縄出張 (No. 2 ? 海鮮食堂 太陽) で天
ゴーヤーチャンプルー定食
すっかり全メニュー制覇の勢いで ニライカナイ に通っていますが、まだそばと同じくらい沖縄ご飯の本命とも言える "ゴーヤーチャンプルー" を試していません。夜の居酒屋でおつまみとして
Valid HTML5 Valid CSS3 Another HTML Lint