qmail-spamcontrol の 運用について少し書く。
このパッチをすると、qmail-remote は TLSに対応する。
/var/qmail/control/tlsdestinations
制御ファイルを設置する と 接続先の サーバが、STARTTLS 対応していいればセッションをTLSで保護することができる。
このパッチの 2.7.31 では SSLv3以前のプロトコルでセッションを行おうとするが、もう既に "POODLE" "HEARTBLEED"、先週(2016/03/01) 発表になった "BROWN" などの脆弱性を突いてくることがわかっているために、これらの古いプロトコルを迂闊に使えると、最悪は SMTP セッション開始を 拒否される。
故に、2.7.32 以降のパッチが必要なのだが、port作者がさぼっている。
letsencrypt が FreeBSDでも稼働するようなったので、STARTTLS には多くの問題を抱えながらも、今後は強制的になっていくのではないかと考えている。 DKIMがそれほど普及もせず、 SPFも適当すぎるため、これらの後付け SMTP の付属物がロクなことをしないのは知っているのだが、少なくともデータのやりとりにTLSの保護は役に立つだろう。
0 件のコメント:
コメントを投稿