Disable SSLv3 for Dovecot
authorChristian Mehlmauer <firefart@gmail.com>
Fri, 17 Oct 2014 20:42:55 +0000 (22:42 +0200)
committerChristian Mehlmauer <firefart@gmail.com>
Fri, 17 Oct 2014 20:42:55 +0000 (22:42 +0200)
src/acknowledgements.tex
src/configuration/MailServers/Dovecot/10-ssl.conf
src/practical_settings/mailserver.tex

index 7978982..c06e7ed 100644 (file)
@@ -16,8 +16,9 @@ Huebl, Axel \\
 Kovacic, Daniel \\
 Lenzhofer, Stefan \\
 LorĂ¼nser, Thomas \\
+Mehlmauer, Christian \\
 Millauer, Tobias \\
-Mirbach, Andreas \\ 
+Mirbach, Andreas \\
 O'Brien, Hugh \\
 Pacher, Christoph \\
 Palfrader, Peter \\
@@ -49,8 +50,7 @@ responsibility of the primary authors.
 
 
 
-%%% Local Variables: 
+%%% Local Variables:
 %%% mode: latex
 %%% TeX-master: "applied-crypto-hardening"
-%%% End: 
-
+%%% End:
index 04bf926..ecd0ad3 100644 (file)
@@ -21,7 +21,7 @@ ssl_key = </etc/dovecot/private/dovecot.pem
 # PEM encoded trusted certificate authority. Set this only if you intend to use
 # ssl_verify_client_cert=yes. The file should contain the CA certificate(s)
 # followed by the matching CRL(s). (e.g. ssl_ca = </etc/ssl/certs/ca.pem)
-#ssl_ca = 
+#ssl_ca =
 
 # Require that CRL check succeeds for client certificates.
 #ssl_require_crl = yes
@@ -46,7 +46,7 @@ ssl_key = </etc/dovecot/private/dovecot.pem
 #ssl_dh_parameters_length = 1024
 
 # SSL protocols to use
-#ssl_protocols = !SSLv2
+ssl_protocols = !SSLv3 !SSLv2
 
 # SSL ciphers to use
 ssl_cipher_list = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
index 678ee7b..36b1e10 100644 (file)
@@ -1,6 +1,6 @@
 % hack.
 \gdef\currentsectionname{MailServers}
-This section documents the most common mail (SMTP) and IMAPs/POPs servers. Another option to secure IMAPs/POPs servers is to place them behind an stunnel server. 
+This section documents the most common mail (SMTP) and IMAPs/POPs servers. Another option to secure IMAPs/POPs servers is to place them behind an stunnel server.
 
 
 %% ----------------------------------------------------------------------
@@ -47,7 +47,7 @@ mode, because the alternative is plain text transmission.
 \subsection{Dovecot}
 
 
-\subsubsection{Tested with Version} 
+\subsubsection{Tested with Version}
 \begin{itemize*}
   \item Dovecot 2.1.7, Debian Wheezy (without ``ssl\_prefer\_server\_ciphers'' setting)
   \item Dovecot 2.2.9, Debian Jessie
@@ -57,7 +57,7 @@ mode, because the alternative is plain text transmission.
 \subsubsection{Settings}
 % Example: http://dovecot.org/list/dovecot/2013-October/092999.html
 
-\configfile{10-ssl.conf}{51-55}{Dovecot SSL configuration}
+\configfile{10-ssl.conf}{48-55}{Dovecot SSL configuration}
 
 \subsubsection{Additional info}
 Dovecot 2.0, 2.1: Almost as good as dovecot 2.2. Dovecot does not ignore unknown configuration parameters. Does not support
@@ -153,11 +153,11 @@ openssl s_client -crlf -connect SERVER.TLD:993
 %% I found no research that would show that long-term use of a
 %% parameter set would weaken the DH exchange. Also notice that IPSEC
 %% uses fixed parameter sets only.
-%& 
+%&
 %% also notice the following comment from  src/tls/tls_dh.c:
 %% * Compiled-in EDH primes (the compiled-in generator is always 2). These are
 %% * used when no parameters are explicitly loaded from a site-specific file.
-%% * 
+%% *
 %% * 512-bit parameters are used for export ciphers, and 1024-bit parameters are
 %% * used for non-export ciphers. An ~80-bit strong EDH key exchange is really
 %% * too weak to protect 128+ bit keys, but larger DH primes are
@@ -380,4 +380,3 @@ openssl s_client -starttls smtp -crlf -connect SERVER.TLD:25
 %\subsection{Exchange}
 
 %\todo{FIXME: write this section}
-