POODLE: deshabilitar SSLv3 en Postfix, Sendmail, Dovecot, Courier-imap

En la entrada anterior veíamos como deshabilitar SSLv3 en los servidores web Apache, Nginx, Lighttpd para protegernos de la vulnerabilidad crítica en SSL 3.0 POODLE. Ahora nos centramos en los servidores de correo (POP3, IMAP, SMTP) y vamos a ver como deshabilitarlo en Postfix, Sendmail, Dovecot y Courier-imap.

Deshabilitar SSLv3 en Postfix

Para quitar SSLv3 en Postfix debemos editar el archivo de configuración /etc/postfix/main.cf y modificar la directiva de configuración smtpd_tls_mandatory_protocols, bloqueando las versiones 2 y 3 de SSL:

/etc/postfix/main.cf
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3

Reiniciamos postfix para activar los cambios:

# service postfix restart

Deshabilitar SSLv3 en Sendmail

En sendmail, debemos editar la plantilla del archivo de configuración sendmail.mc y modificar la sección LOCAL_CONFIG y editar lo siguiente:

CipherList=HIGH
ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3

Usamos el comando m4 para generar el archivo de configuración:

m4 sendmail.mc > /etc/sendmail.cf

Y reiniciamos sendmail:

/etc/init.d/sendmail restart

Deshabilitar SSLv3 en Dovecot

Para Dovecot debemos tener en cuenta que según la versión hay que realizar modificaciones distintas.

En versiones superiores a la 2.1 editamos el archivo de configuración /etc/dovecot/local.conf añadiendo la siguiente línea:

/etc/dovecot/local.conf
ssl_protocols = !SSLv2 !SSLv3

Para versiones inferiores editamos el archivo /etc/dovecot/conf.d/10-ssl.conf y añadimos la línea:

/etc/dovecot/conf.d/10-ssl.conf
ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL

En ambos casos, después de aplicar los cambios hay que reiniciar el servicio:

# service dovecot restart

Deshabilitar SSLv3 en Courier-imap

En Courier-Imap, editamos el archivo de configuración /etc/courier/imapd-ssl con la siguiente configuración:

/etc/courier/imapd-ssl
IMAPDSSLSTART=NO
IMAPDSTARTTLS=YES
IMAP_TLS_REQUIRED=1
TLS_PROTOCOL=TLS1
TLS_STARTTLS_PROTOCOL=TLS1

Y reiniciamos el servicio:

# service courier-imap restart