我没有通过PCI兼容扫描.我已成功使用RC4密码进行Apache设置,但我的Postfix配置仍然没有修复.我应该在main.cf文件中使用什么TLS配置.
我目前的配置如下
# TLS parameters smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key smtpd_use_tls=yes tls_preempt_cipherlist = yes smtpd_tls_protocols = !SSLv2 smtpd_tls_mandatory_protocols = !SSLv2,SSLv3 smtpd_tls_cipherlist = RC4-SHA:+TLSv1:!SSLv2:+SSLv3:!aNULL:!NULL smtp_tls_cipherlist = RC4-SHA:+TLSv1:!SSLv2:+SSLv3:!aNULL:!NULL smtpd_tls_security_level = encrypt
您的审核员知道BEAST中的B代表BROWSER对吗?
对于像MUA这样的非浏览器客户端泄漏足够的信息来破坏安全性是非常不切实际的(虽然是,但并非完全不可能).
对于像MUA这样的非浏览器客户端泄漏足够的信息来破坏安全性是非常不切实际的(虽然是,但并非完全不可能).
也就是说,您应该能够像使用Apache那样使用各种_cipherlist参数.你应该确保你没有提供任何易受攻击的密码(我相信你现在使用的是密码列表,但我不是在查看扩展列表,所以我可能错了).
您可能还想关闭tls_preempt_cypherlist,以防引起密码协商问题.
正如其他人所指出的那样,您的邮件服务器应该是一个孤立的基础设施(因此通常不在PCI审计的范围之内).如果您的审核员正在四处寻找它可能更容易修补它以关闭它们,但如果您的邮件服务器本身不是一个岛屿,您真的需要重新设计它以便它.这只是标准的安全最佳实践.