我修补了一个Postfix + Dovecot服务器对DROWN攻击 (我禁用sslv2和sslv3)。
https://test.drownattack.com Shows :25 vulnerable to CVE-2016-0703 :110 vulnerable to CVE-2016-0703 ... 之后,如果我使用-ssl2开关连接命令行OpenSSL的s_client ,则不支持该协议。 我可以把这个作为他们的扫描仪误检吗?
端口110是POP3的默认端口,历史上它是明文协议,但已被扩展为支持STARTTLS协商并通过该明文通道升级到encryption连接。
你可以用openssl中的-starttls开关来testing:
openssl s_client -starttls pop3 -connect host:110
如果不使用starttls来select正确的协议来协商encryption,openssl将无法检测到对encryption的支持,而像-ssl2或-no_ssl2这样的选项-no_ssl2都将失败。
对于端口25也是如此,但随后与smtp协议…