Translated message

A translation of this page exists in English.

Postfix および Dovecot における POODLE SSL 3.0 脆弱性問題 (CVE-2014-3566) の解決方法

Solution Verified - Updated -

Environment

  • Red Hat Enterprise Linux 5、6、および 7
  • Postfix
  • Dovecot

Issue

  • Postfix および Dovecot で SSL 3.0 などの弱いプロトコルを無効にする方法は?

Resolution

Dovecot

  • Red Hat Enterprise Linux 7 (dovecot-2.2.x)

Red Hat Enterprise Linux 7 の Dovecot で SSL 3.0 および SSL 2.0 を無効にするには /etc/dovecot/conf.d/10-ssl.conf ファイルに以下の行を追加します。

ssl_protocols = !SSLv2 !SSLv3

この変更を有効にするには、systemctl restart dovecot.service を使用して dovecot サービスを (再ロードではなく) 再起動する必要があります。

  • Red Hat Enterprise Linux 6 (dovecot-2.0.x)、Red Hat Enterprise Linux 5 (dovecot-1.0.x)

Red Hat Enterprise Linux 5 および 6 に含まれる Dovecot では、任意の SSL プロトコルを無効にすることはをサポートされません。この機能は Dovecot バージョン 2.1 以降でサポートされます。SSL 3.0 を無効にするには、SSL 3.0 サポートを含まない dovecot パッケージを再コンパイルする必要があります。任意の SSL プロトコルを無効にするサポートは、将来のアップデートで Red Hat Enterprise Linux 5 および 6 の Dovecot に含まれるかもしれません。

Postfix

  • Red Hat Enterprise Linux 6 (postfix-2.6.x)、Red Hat Enterprise Linux 7 (postfix-2.10.x)

Red Hat Enterprise Linux 6 および 7 の Postfix で SSL 3.0 および SSL 2.0 を無効にするには、/etc/postfix/main.cf ファイルに以下の行を追加します。

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3

これらの設定オプションは、Postfix SMTP サーバーおよび Postfix SMTP クライアントからの強制および低い暗号化方式を利用できる TLS 暗号化の両方に対して SSL 3.0 および 2.0 を無効にします。強制 TLS 暗号化は、特に Postfix SMTP サーバーの smtpd_enforce_tls = yes 設定オプションと、Postfix SMTP クライアントの smtp_enforce_tls = yes 設定オプションで有効にする必要があります。

注意: 上述の Postfix 設定オプションのいずれかに !SSLv3 を追加すると、サーバーが、SSL 3.0 だけをサポートする特定の配信エージェントからデータを取得できなくなります。

この変更を有効にするには、Red Hat Enterprise Linux 6 の場合は service restart postfix、そして Red Hat Enterprise Linux 7 の場合は systemctl restart postfix.service を使用して、postfix サービスを (リロード) ではなく再起動する必要があります。

  • Red Hat Enterprise Linux 5 (postfix-2.3.x)

Red Hat Enterprise Linux 5 の Postfix で SSL 3.0 および SSL 2.0 を無効にするには、/etc/postfix/main.cf ファイルに以下の行を追加します。

smtpd_tls_mandatory_protocols = TLSv1
smtp_tls_mandatory_protocols = TLSv1

これらの設定オプションは、Postfix SMTP サーバーおよび Postfix SMTP クライアントからの強制 TLS 暗号化に対してのみ TLSv1 を有効にします。強制 TLS 暗号化は、特に Postfix SMTP サーバーの smtpd_enforce_tls = yes 設定オプションと、Postfix SMTP クライアントの smtp_enforce_tls = yes 設定オプションで有効にする必要があります。

注意: 上述の Postfix 設定オプションのいずれかを変更して TLSv1 だけを許可すると、サーバーが、SSL 3.0 だけをサポートする特定の配信エージェントからデータを取得できなくなります。

この変更を有効にするには、service restart postfix を使用して postfix サービスを (リロードではなく) 再起動する必要があります。

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.

Comments