在 Courier-IMAP 服务器中关闭 SSLv3 如何影响旧邮件用户代理?

Scy*_*aud 6 email courier-imap poodle

我想减轻贵宾犬的伤害。在我的 courier-imap 服务器中。我知道该怎么做。我真的很担心它会如何影响 MUA,尤其是旧的。仍有用户在 Windows XP 中使用 Outlook Express 6。是否有任何关于 MUA 将在从服务器端关闭 SSLv3 的情况下停止工作的分析?或者也许这是完全安全的行动?

Mad*_*ter 1

上周尝试过这一点,我的经验是它让很多客户失望了。现代 Outlook 确实支持 TLS,但它认为这意味着从纯文本开始,然后升级到加密TLS 可以用作从头开始的密码套件的想法似乎已经被忽略了;每当我选择 TLS 时,它都坚持要使用 IMAP 端口 143,而不是 IMAP/S 端口 993。虽然我承认不是 Windows 管理员,但我无法说服它,因为我不想公开端口143,这让我很困惑。

Android 手机上的 K-9 邮件(v5.001)也崩溃了。当然,Linux 下的 ALPINE (2.11) 很好。我不能在任何平台上为 Thunderbird 说话,因为当我的用户(包括我的妻子)听完我的耳朵后,我被说服改回来了。

我看到的大多数分析表明,目前还没有已知的基于 IMAP/POP 的 SSLv3 漏洞。dovecot我的新计划是在端口 994 上设置第二个,执行TLS,并温和地引导我的用户寻找适合他们的客户端。如果我在野外看到任何基于邮件的攻击的报告,那么“温和”可能会变得更有力一些。

编辑以解决以下 mc0e 的评论:

你的这种误解是一种常见的误解,事实上,我多年来一直深受这种误解的困扰。然而,认为 TLS 只能通过明文升级进行加密的观点是错误的,但这种观点很常见。

考虑:POODLE 缓解依赖于禁用 HTTPS 服务器的 SSLv3;缓解的服务器只能使用 TLS。除非您认为 HTTPS 刚刚获得了纯文本优先阶段,而这在 POODLE 之前是不存在的,并且世界上所有的 Web 浏览器在连接到 TCP 端口 443 时突然改变了行为(事实并非如此,而且他们也没有) ;启动wireshark并查看),然后TLS用于从一开始就加密的会话。TLS 当然支持从明文升级,但它也可以用于从头加密 - 不管各种客户端软件包的想法如何。

编辑 2:mc0e,我同意这STARTTLS绝对仅限于初始明文服务。然而,这不是我们正在讨论的内容,也不是许多客户使用的术语。对他们来说,对许多人来说,STARTTLS“和”TLS都是同一回事;我的观点是他们不是;后者是前者的纯粹超集。

那些认为将加密非 Web 服务从 SSLv3 切换出来会很容易“因为客户端支持 TLS ”的人可能会遇到问题,因为客户端真正的意思是它支持“STARTTLS用于加密升级”,而不是“TLS 作为用于 从头开始加密连接从明文升级的密码套件”。