나는수출입은행MTA는 내가 제어하는 몇 가지 다른 시스템으로부터만 이메일을 받습니다. 이 모든 시스템은 내 MTA와 TLSv1.2/TLSv1.3을 성공적으로 협상합니다. TLSv1.0 및 TLSv1.1에 대한 지원을 비활성화하고 싶지만 이를 수행하는 방법에 대한 지침을 찾을 수 없습니다.
모든 소프트웨어는 공식 Debian 10 저장소(Exim 4.92, GnuTLS 3.6.6)에서 설치됩니다.
답변1
/etc/exim4/exim4.conf.templateTLS 섹션(또는 언급된 대로)과 같은 어딘가에 이 파일에 다음 줄을 추가합니다.여기):
tls_require_ciphers = SECURE192:!VERS-SSL3.0:!VERS-TLS1.0:!VERS-TLS1.1:!VERS-DTLS0.9:!VERS-DTLS1.0
다시 시작/다시 로드 exim 을 사용하십시오
sudo systemctl restart exim4.업데이트된 exex 설정이 사용되는지 확인하십시오
sudo exim -bP | grep tls_require_ciphers.
tls_require_ciphers에 대한 자세한 내용은 다음을 참조하세요.여기.
답변2
tls_require_ciphers사용법 및 GnuTLS 우선순위 문자열 정의에 대한 섹션을 참조하세요. 귀하와 관련된 예는 다음과 같습니다.
tls_require_ciphers = NORMAL:%LATEST_RECORD_VERSION:-VERS-SSL3.0
...귀하의 요구 사항에 맞게 추가로 조정할 수 있습니다.
답변3
구성 파일에 이와 같은 줄을 추가합니다. 필수 비밀번호와 원치 않는 비밀번호를 얻으려면 편집하세요.
# We need to disable SSL2 and key lengths < 128 bits for PCI compliance
tls_require_ciphers = ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+SHA:!MD5:!LOW:!SSLv2:!EXP:!DES