该网站weakdh.org解释了如何修复postfix对弱称为“logjam”的Diffie-Hellman攻击。
但是我也不需要固定快递吗? 或者我必须迁移到鸽舍才能安全吗?
我发现这个博客文章解释得很好。
为了加快速度,首先检查,如果你已经在/etc/ssl/certs/dhparams.pem有好的参数检查
openssl dhparam -text -noout -in /etc/ssl/certs/dhparams.pem
如果这样的话将它们复制到/etc/courier/dhparams.pem中
cp -a /etc/ssl/certs/dhparams.pem /etc/courier/dhparams.pem
否则生成
openssl dhparam -out /etc/courier/dhparams.pem 4096
Courrier版本4.15从imap和pop3dconfiguration文件中删除TLS_DHCERTFILE参数 。 DH参数和DH参数,则从新的TLS_DHPARAMS文件(以及用于DSA证书的TLS_DHCERTFILE的其他函数,将其合并到TLS_CERTFILE中)读取。 升级后,运行mkdhparams脚本以创build一个新的TLS_DHPARAMS文件。
所以检查你的安装版本
apt-cache show courier-imap-ssl|grep Version
如果你至less有版本4.15,现在编辑/etc/courier/imapd-ssl并设置
TLS_DHPARAMS=/etc/courier/dhparams.pem
重启courier-imap-ssl:
/etc/init.d/courier-imap-ssl restart
检查与openssl版本1.0.2a的连接。
openssl s_client -host <yourhost.org> -port 993
使用快递服务器时,需要确保/etc/courier/dhparams.pem中的Diffie-Hellman参数的生成大于默认的768位。 我猜2048或4096位应该做的。
而不是使用mkdhparams生成dhparams.pem (默认只有768位!),你可以这样做:
openssl dhparam -out /etc/courier/dhparams.pem 2048 service courier-mta-ssl restart
这里有一些信息(用德语),还有一些关于如何减轻对Courier-MTA的Logjam攻击的进一步阅读。