Home » FreeBSD » Disable SSLv3 (sendmail) (Tag: )

Disable SSLv3 (sendmail)

2014/12/26 19:02

Disable SSLv3 (bsdftpd-ssl) に続いて、POODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれる攻撃方法を回避するために sendmail で SSL 3.0 を無効化します。

sendmail.cf に以下の内容を追加後、再起動することで無効化が可能です。

LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3

ただし、メールヘッダ内やメールログでは

Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
        by hs.drive.ne.jp with ESMTP id sBMLWomT012899
        (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256);
        Fri, 26 Dec 2014 06:32:50 +0900 (JST)

無効化されているのかが良く分かりません。tls.c を修正することでプロトコル名を表示してみました。

# diff update/tls.c sendmail-8.14.9/sendmail/tls.c
1241,1242c1241
<       /* s = SSL_CIPHER_get_version(c); */
<       s = SSL_get_version(ssl);
---
>       s = SSL_CIPHER_get_version(c);

Becky! Internet Mail (2.69.00) -> メールボックス -> プロパティ -> 詳細 -> 送信用 で値を変更してヘッダ内を確認します。

tls.c 修正後 – "over SSL 3.0"

Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
        by hs.drive.ne.jp with ESMTP id sBMLZHcL016429
        (version=SSLv3 cipher=DES-CBC3-SHA bits=112);
        Fri, 26 Dec 2014 06:35:17 +0900 (JST)

tls.c 修正後 – "over TLS 1.0"

Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
        by hs.drive.ne.jp with ESMTP id sBMLZxAV016433
        (version=TLSv1 cipher=AES256-SHA bits=256);
        Fri, 26 Dec 2014 06:35:41 +0900 (JST)

tls.c 修正後 – "デフォルト"

Received: from localhost (33.246.214.202.bf.2iij.net [202.214.246.33])
        by hs.drive.ne.jp with ESMTP id sBMLafuU016578
        (version=TLSv1.2 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256);
        Fri, 26 Dec 2014 06:36:58 +0900 (JST)

Random Select

Drive Network Philosophy
バージョン隠蔽 (sendmail) に続いて、Apache での対応をご紹介しましょう。ServerSignature (httpd.conf)ServerSignature OffErrorDoc
黒島 (3)
黒島 (No. 1 – 石垣港離島ターミナル 〜 竹富島) の続きです。中央に小浜島、左手に西表島が見えて来ました。また後ろを振り返ると、尾行が続いています。追い上げそうでしたが、もう 1
きつねうどん (温, 中盛)
うどん 丸香 (改修工事) で久しぶりに訪れた日は、まだ試したことのない温かいきつねうどん (かけ) を試してみました。このどーんと大きなお揚げはうどんの量に関わらず豪快ですが、つゆ同様あっさりして優
アジフライカレー
柏や (野菜炒め定食) の続きです。前日野菜炒め定食で大いに満足して帰った後に調べてみると、柏や を "陸の孤島の最強ランチ " や "貴重な定食屋" と褒める
WS-C2960S-48TS-L (1)
Cisco Catalyst は SSH でのログインも可能ですが、enable する方法が独特です。aaa new-modelcrypto key generate rsa今回は以下のバージョンでの
head spa scalp massage cream
3 年程 超音波ヘアブラシ を使って、洗髪の後にほぼ毎日自宅ヘッドスパ (ヘッドスパもどき) をしています。ここ数年通っているリフレクソロジーで、ある時配っていたサンプルの中に h&s ヘッド
白米 (2)
長谷園 eco かまど (三合炊き – 白米二合) の続きです。次の日は白米一合を試してみました。180ml の米を研ぎ、水切り水 220ml で 20 分浸水中強火で 7 分炊く20 分
インド風カレー (インドカレー)
最近松戸に引っ越した友達が、松戸駅周辺のディープな感じのお店を投稿していました。そのうちの 1 つが カレー専門店 印度 です。松戸駅は、月 1 回程不定期に船橋を訪れる際に通過するだけで降りる機会は
Havana カレー (キーマ, ライス大盛り, ルー大盛り x 2, 辛さ 20 倍)
沖縄出張 (No. 20 – Havana CURRY ふたたび) の続きです。投稿としては Season 2 (2013/01/15 – 2013/01/26) 以来ですが、
冷たいおそば (ざる)
ゆで太郎 錦町店 (かきあげ) で ゆで太郎 には初めて入りました。その帰り際に気になった"特もり" を改めて良く眺めると、普通サイズの 3 倍と書かれていました。方や ゆで太郎
Valid HTML5 Valid CSS3 Another HTML Lint