修复信使中的日志漏洞

Question

weakdh.org网站解释了如何修复后缀，以防止名为"logjam“的弱Diffie-Hellman攻击。

但我不也得修理快递员吗？还是我必须迁移到多维柯才能保持僵局安全？

Answer 1

我发现这篇博客文章解释得很好。

为了加快速度，首先检查一下，如果您在/etc/ssl/certs/dhparams.pem中已经有了很好的参数

openssl dhparam -text -noout -in /etc/ssl/certs/dhparams.pem

如果是这样，则将它们复制到/etc/courier/dhparams.pem中

cp -a /etc/ssl/certs/dhparams.pem /etc/courier/dhparams.pem

否则生成与

openssl dhparam -out /etc/courier/dhparams.pem 4096

来自imap的信使版本4.15移除TLS_DHCERTFILE参数和pop3d配置文件。DH参数和DH参数仅从新的TLS_DHPARAMS文件中读取(以及TLS_DHCERTFILE的其他功能，用于DSA证书，合并到TLS_CERTFILE中)。升级之后，运行mkdhparams脚本来创建一个新的TLS_DHPARAMS文件。

因此，请检查安装的版本

 apt-cache show courier-imap-ssl|grep Version

如果您至少有4.15版本，现在编辑/etc/courier/imapd-ssl并设置

TLS_DHPARAMS=/etc/courier/dhparams.pem

重新启动信使-imap-ssl：

/etc/init.d/courier-imap-ssl restart

检查与openssl版本1.0.2a的连接。

openssl s_client -host <yourhost.org> -port 993

Answer 2

在使用信使时，您需要确保/etc/courier/dhparams.pem中的Diffie-Hellman参数的生成超过默认的768位。我想2048或4096位应该可以。

而不是使用mkdhparams生成dhparams.pem (默认情况下只有768位！)你可以这样做：

openssl dhparam -out /etc/courier/dhparams.pem 2048

service courier-mta-ssl restart 

这里有一些信息(德语)和一些关于如何缓解僵局-对信使-MTA的攻击.的进一步阅读