我没有符合PCI规范的扫描。 我已经成功地使用RC4密码进行Apache安装,但是我的Postfixconfiguration仍然没有修复。 我应该在我的main.cf文件中使用什么TLSconfiguration。
我目前的configuration如下
# TLS parameters smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key smtpd_use_tls=yes tls_preempt_cipherlist = yes smtpd_tls_protocols = !SSLv2 smtpd_tls_mandatory_protocols = !SSLv2, SSLv3 smtpd_tls_cipherlist = RC4-SHA:+TLSv1:!SSLv2:+SSLv3:!aNULL:!NULL smtp_tls_cipherlist = RC4-SHA:+TLSv1:!SSLv2:+SSLv3:!aNULL:!NULL smtpd_tls_security_level = encrypt
您的审核员知道BEAST中的B代表BROWSER对吗?
对于像MUA这样的非浏览器客户来说泄露足够的信息来危及安全是非常不切实际的(尽pipe是的,并非完全不可能)。
也就是说,您应该能够像Apache一样使用各种_cipherlist参数。 你应该确保你不提供任何易受攻击的密码(我相信你现在用这个密码列表,但是我没有看扩展名单,所以我可能是错的)。
您可能还想closurestls_preempt_cypherlist ,以防密码协商造成问题。
正如其他人指出,你的邮件服务器应该是一个孤立的基础设施(因此一般在PCI审计的范围之外 。
如果你的审计人员正在嘲笑它,那么修补它可能会更容易,但是如果你的邮件服务器本身不是一个孤岛,那么你真的需要重新devise这个服务器。 这只是标准的安全最佳实践。