Ostatnio dąży się do wyłączania starszych, słabszych i obarczonych błędami protokołów TLS 1.0 i nawet TLS 1.1. Najnowsze rekomendacje, wyniki testów, wyniki audytów mówią o tym, żeby używać TLS 1.2 lub wyżej. W tym wpisie skoncentruję się na szyfrowaniu w poczcie elektronicznej.
Żeby wyłączyć starsze protokoły szyfrujące w Dovecot należy zmienić:
/etc/dovecot/conf.d/10-ssl.conf
i w tym pliku dodać lub zmienić wpis:
ssl_min_protocol = TLSv1.2
Następnie restart usługi i to nam załatwia temat IMAPS i POP3S.
Jeśli chodzi o ruch SMTP to w przypadku Postfixa należy wyedytować:
/etc/postfix/main.conf
I tam dodać lub wyedytować wpisy:
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
Więcej info:
https://www.transip.eu/knowledgebase/entry/5389-disabling-tls-and-your-mailserver/