SSLv3 に関する脆弱性(POODLE 攻撃)に対する対応で、下記記事時点では CentOS5/6 の dovecot では SSLv3 を無効にすることは出来ませんでした。
その後、今年頭になって対応版の dovecot がリリースされていましたので、設定を説明します。
SSLv3 に関する脆弱性(POODLE 攻撃)への対処 パソコン鳥のブログ
なお、このdovecot のPOODLE 攻撃の対処パッケージですが、セキュリティ更新では無く、バグFIXという扱いなので、下記で紹介したセキュリティに関するパッケージの更新では更新されません。
CentOS6 でセキュリティに関するパッケージの更新のみ行う パソコン鳥のブログ
下記で dovecot を更新する必要があります。
apt-get update dovecot
dovecot の設定を修正します。
/etc/dovecot/conf.d/10-ssl.conf
ssl_protocols = !SSLv2 !SSLv3
設定を反映させます。
/etc/init.d/dovecot reload
問題が無いか、次のページで確認してみます。
SSLチェック【証明書・プロトコル・暗号スイート確認】
ホスト名(FQDN)に dovecot の設定をしたサーバのホスト名、簡易選択で 995ポート(POP3S) を選択し、プロトコル使用可否チェックを行う にチェックを入れて実行します。
実行結果の<プロトコル接続可否>で、SSLv2、SSLv3 が × になっていればOKです。
参考
CentOS6 dovecot-2.0.9 poodle対策バージョン | ネットワークエンジニアの居酒屋
Red Hat Customer Portal
コメント