Home » FreeBSD » Disable SSLv3 (sendmail) (Tag: )

Disable SSLv3 (sendmail)

2014/12/26 19:02

Disable SSLv3 (bsdftpd-ssl) に続いて、POODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれる攻撃方法を回避するために sendmail で SSL 3.0 を無効化します。

sendmail.cf に以下の内容を追加後、再起動することで無効化が可能です。

LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3

ただし、メールヘッダ内やメールログでは

Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
        by hs.drive.ne.jp with ESMTP id sBMLWomT012899
        (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256);
        Fri, 26 Dec 2014 06:32:50 +0900 (JST)

無効化されているのかが良く分かりません。tls.c を修正することでプロトコル名を表示してみました。

# diff update/tls.c sendmail-8.14.9/sendmail/tls.c
1241,1242c1241
<       /* s = SSL_CIPHER_get_version(c); */
<       s = SSL_get_version(ssl);
---
>       s = SSL_CIPHER_get_version(c);

Becky! Internet Mail (2.69.00) -> メールボックス -> プロパティ -> 詳細 -> 送信用 で値を変更してヘッダ内を確認します。

tls.c 修正後 – "over SSL 3.0"

Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
        by hs.drive.ne.jp with ESMTP id sBMLZHcL016429
        (version=SSLv3 cipher=DES-CBC3-SHA bits=112);
        Fri, 26 Dec 2014 06:35:17 +0900 (JST)

tls.c 修正後 – "over TLS 1.0"

Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
        by hs.drive.ne.jp with ESMTP id sBMLZxAV016433
        (version=TLSv1 cipher=AES256-SHA bits=256);
        Fri, 26 Dec 2014 06:35:41 +0900 (JST)

tls.c 修正後 – "デフォルト"

Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
        by hs.drive.ne.jp with ESMTP id sBMLafuU016578
        (version=TLSv1.2 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256);
        Fri, 26 Dec 2014 06:36:58 +0900 (JST)

Random Select

コピリーナ (5)
前回の出張 2013/01 から今回の間に、かつてのスタッフが夢をかなえて cafe copiriina*コピリーナ をオープンしていたので、今回は是非にと訪れました。沖縄入りして 1 週間でようやく
ワイルドステーキ 300g (2)
銀座 4 丁目に一号店をオープンした いきなり ! ステーキ がオフィスのそばにも出店していると知って、早速訪れました。フードスタジアム — 新・外食ウォーズ — 【新・外食ウ
特製エビ豆カレー (辛さ 20 倍)
カリーライス専門店 エチオピア 本店 (No. 8 – 辛さ 20 – 40 倍) の続きです。今でも週 1 回前後は通っていますが、ある日突如目に飛び込んだメニューがありまし
FreeBSD Logo
Migrate to FreeBSD 9.1-RELEASE (JDK 1.6) に続いて idnconv (idnkit) を移行しました。idnconv は国際化ドメイン名のエンコード・デコードを
ビーフ + 野菜カレー (ルー大盛り, 辛さ 70 倍)
カリーライス専門店 エチオピア 本店 (No. 13 – 辛さ 70 倍メドレー 1) を投稿した時は、まさか全メニューを辛さ 70 倍で横断するとは思っていませんでしたが、我ながら凝り性
煮込み開始直前 (3)
ハッシュ・ド・ビーフの作り方 (No. 3) の続きです。煮込み最後はローリエを 2, 3 枚入れてよくかき混ぜ、2, 3 時間煮込む。適当にかき回せつつ。です。すべての材料を寸胴に移した状態で、ほぼ
豆カレー (ルー大盛り, 辛さ 70 倍)
前回の投稿 カリーライス専門店 エチオピア 本店 (No. 12 – 豆カレー 辛さ 50 倍) よりほぼ 1 年ぶりとなりました。その後 3 回程訪れた後は半年以上ブランクが開き、久しぶ
ハンバーグ
沖縄出張 (No. 11 ? 波布食堂) 程の量ではないけど、もう少し手前 (浦添寄り) であれば 軽食の店 ルビー より きょんたろう食堂 ですよ。という話を前回の出張 2013/01 で聞いていま
平久保崎灯台 (2)
石垣島 (No. 4 – 玉取崎展望台) の続きです。玉取崎展望台を後にした時点でちょうど昼前でした。石垣島ではかなり有名と見える明石食堂が北に 10 分程の距離にあるので、平久保崎灯台に
与那国島 (4)
与那国島 (No. 1 – 出発) の続きです。さて、到着しました。予想していたより湿気もなく、日射しは強いけど涼しい感じです。手荷物受取場のゲートがあるすぐ右側に、見慣れたポスター。20
Valid HTML5 Valid CSS3 Another HTML Lint