Exim4: найти конфиг и запретить SSLv3

Запустить exim через strace с трассировкой системного вызова open().

Прописать в tls_require_ciphers список желаемых шифров.

exim -bV

Но выбрать протоколы SSL/TLS возможности нет. Да, можно указать шифры, но специально выбирать шифры поддерживаемые в TLS и неподдерживаемые в SSL довольно хлопотно. Можно, например, использовать 'HIGH:!aNULL:!MD5:!SHA1', что приводит к использованию только TLSv1.2, но такой список шифров поддерживается не всеми клиентами.

При этом практика показывает, что в SMTP SSL и не используется

$ grep ' X=SSL' /var/log/exim/main.log
$

при этом

$ grep ' X=TLS' /var/log/exim/main.log

вываливает огромный результат.

Да, кстати, можно и вообще не заморачиваться в случае SMTP, поскольку для успешной эксплуатации необходимо выполнять javascript на клиенте. Вы видели javascript в MTA?

А куда же прописывать эту строчку? Конфиг нашёлся где и положено - /var/lib/exim4/config.autogenerated Но писать-то туда не стоит.

Да у меня там и TLS нет, но хочется закрыть навсегда и забыть. На остальных портах я всё позакрывал, остался только этот дурацкий exim

Воткнул вот эту строчку

tls_require_ciphers = ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP

Exim configuration error:
  tls_require_ciphers invalid: gnutls_priority_init(ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP) failed at offset 0, "ALL:!ADH.." failed: The request is invalid.
Invalid new configfile /var/lib/exim4/config.autogenerated.tmp, not installing
/var/lib/exim4/config.autogenerated.tmp to /var/lib/exim4/config.autogenerated

Уже результат, в принципе. Осталось только понять, что к чему. :)

man openssl ciphers, после чего должен начать догадываться, что sslv2/3 это не cipher

И да, зачем отключать sslv3 если для эксплутирования уязвмости, нужен js?

А как быть с вот этим?

 nmap --script ssl-enum-ciphers -p 465 localhost

Starting Nmap 6.00 ( http://nmap.org ) at 2014-10-16 16:27 MSK
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000093s latency).
PORT    STATE SERVICE
465/tcp open  smtps
| ssl-enum-ciphers:
|   SSLv3
|     Ciphers (8)
|       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - unknown strength
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - unknown strength
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - unknown strength
|       TLS_RSA_WITH_RC4_128_MD5 - unknown strength
|       TLS_RSA_WITH_RC4_128_SHA - strong
|     Compressors (1)
|       NULL

И да, зачем отключать sslv3 если для эксплутирования уязвмости, нужен js?

За тем, что она есть, уязвимость эта. И не важно, что её нельзя(теоретически) эксплуатировать. Её нужно убрать и забыть.

В openssl_options добавить +no_sslv2 +no_sslv3.

tls_require_ciphers invalid: …

Потому что двоеточие — разделитель списков в exim, а указанная строка должна быть отдана в openssl как есть. Значит … просто нужны кавычки или апострофы.

Два … Нет! Три чая этому господину!

В openssl_options добавить +no_sslv2 +no_sslv3.

Класс! Оказывается всё просто, а я-то искал опции «tls_…» :-(

Спасибо А можно немного подробнее? Куда и как?

В итоге вышло так:

tls_require_ciphers = NORMAL:+VERS-TLS-ALL:-VERS-SSL3.0

А openssl_options не работает, потому как GnuTLS Такие делишки