Tom*_*zky 8 ssl sendmail centos rhel5 centos5
我在 CentOS 5 上的 sendmail 服务器开始拒绝某些连接,并记录以下消息:
error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1092:SSL alert number 40
当我尝试使用来自 CentOS 6 服务器的 openssl 连接到它时,我收到以下错误:
$ openssl s_client -starttls smtp -crlf -connect hostname.example.net:smtp
(...)
error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small:s3_clnt.c:3331
(...)
Server Temp Key: DH, 512 bits
(...)
CentOS 6 服务器上的邮件被临时拒绝Deferred: 403 4.7.0 TLS handshake failed。
怎样才能从 CentOS 6 / RHEL 6 向 CentOS6 / RHEL5 服务器发送邮件?
Tom*_*zky 10
这是因为在 CentOS 6 上最近更新 openssl 之后openssl-1.0.1e-30.el6.11.x86_64,使用这个库的程序开始拒绝连接到易受Logjam TLS 漏洞攻击的服务器。
您需要将 sendmail 配置为使用更强的临时 Diffie–Hellman 密钥 — 至少 1024 位。它与您在 TLS 证书中使用的密钥不同,因此如果您的证书使用 2048 位密钥,那么您仍然可能容易受到攻击。
在您的服务器上生成 DH 参数文件:
openssl dhparam -out /etc/pki/tls/certs/dhparams.pem 1024
将 sendmail 配置为使用此参数文件,并仅使用强密码。添加到/etc/mail/sendmail.mc:
LOCAL_CONFIG
O CipherList=HIGH:!ADH
O DHParameters=/etc/pki/tls/certs/dhparams.pem
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
然后使用make -C /etc/mail/和service sendmail restart。
| 归档时间: |
|
| 查看次数: |
23607 次 |
| 最近记录: |