fix Exim against DROWN
authoraaronkaplan <aaron@lo-res.org>
Wed, 2 Mar 2016 08:55:01 +0000 (09:55 +0100)
committeraaronkaplan <aaron@lo-res.org>
Wed, 2 Mar 2016 08:55:01 +0000 (09:55 +0100)
src/practical_settings/mailserver.tex

index 2534046..27056bf 100644 (file)
@@ -248,7 +248,7 @@ For the MSA \verb|smtpd| process which communicates with mail clients, we first
 define the ciphers that are acceptable for the ``mandatory'' security level,
 again in \verb|main.cf|:
 
-\configfile{main.cf}{36-45}{MSA TLS configuration in Postfix}
+\configfile{main.cf}{36-46}{MSA TLS configuration in Postfix}
 
 Then, we configure the MSA smtpd in \verb|master.cf| with two
 additional options that are only used for this instance of smtpd:
@@ -256,7 +256,7 @@ additional options that are only used for this instance of smtpd:
 \configfile{master.cf}{12-14}{MSA smtpd service configuration in Postfix}
 
 For those users who want to use EECDH key exchange, it is possible to customize this via:
-\configfile{main.cf}{46-46}{EECDH customization in Postfix}
+\configfile{main.cf}{47-47}{EECDH customization in Postfix}
 The default value since Postfix 2.8 is ``strong''.
 
 \subsubsection{Limitations}
@@ -403,7 +403,7 @@ Do not limit ciphers without a very good reason. In the worst case you end up wi
 \paragraph{OpenSSL:}
 Exim already disables SSLv2 by default. We recommend to add
 \begin{lstlisting}
-openssl_options = +all +no_sslv2 +no_compression +cipher_server_preference
+openssl_options = +all +no_sslv2 +no_sslv3 +no_compression +cipher_server_preference
 \end{lstlisting}
 to the main configuration.