SSLをポート110で使用するにはどうすればよいですか?

14

DROWN攻撃に対してPostfix + Dovecotサーバーにパッチを適用しました(sslv2とsslv3を無効にしました)。

https://test.drownattack.com

Shows :25
vulnerable to CVE-2016-0703
:110
vulnerable to CVE-2016-0703
...

私は、コマンドラインで接続した場合その後、OpenSSLのs_client使用して-ssl2スイッチを、プロトコルがサポートされていません。これをスキャナーによる誤検出と見なすことはできますか?

security  ssl 
デファイラー
ソース
また、誤解しない限り:「[テスト結果]は大量に収集および処理されるデータに基づいているため、古くなっている可能性があり、オペレーターが問題を軽減した後にサービスが脆弱であると表示される」つまり、リアルタイムで更新されず、攻撃を自分で再現できない場合、更新されないテスト結果は必ずしも問題ではありません。
このツールは、2016年2月に検出された脆弱なサービスを表示し、修正されているかどうかを確認するためにそれぞれを調査します。結果には、新しいサーバーやスキャナーが見逃したサーバーは含まれません。ライブ更新は15分間キャッシュされます。私は昨日何度も更新しましたが、今日も彼らのスキャナーはいくつかの仕事をしているようですが、ポートが脆弱であるといつも戻ってきます... 110はいはい脆弱性(SSL v2と同じキー)
-defiler

回答:

41

ポート110はPOP3のデフォルトポートです。これは歴史的にはクリアテキストプロトコルですがSTARTTLS 、そのクリアテキストチャネルを介した暗号化された接続のネゴシエーションとアップグレードをサポートするように拡張されています。

-starttlsopenssl のスイッチでテストします:

openssl s_client -starttls pop3 -connect host:110

使用せずにstarttls暗号化のopensslを交渉するために、正しいプロトコルを選択するように、暗号化およびオプションに対するサポートを検出することができないであろう-ssl2-no_ssl2にかかわらず、失敗します。

同じことがポート25にも当てはまりますが、smtpプロトコルでは...

HBruijn
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.