Dovecot gegen SSL-FREAK-Attacke sichern

Abstract

Dovecot kann mit wenigen Handgriffen gegen die SSL-Schwachstelle FREAK geschützt werden. Ich zeige die notwendigen Schritte.

Die SSL-FREAK-Attacke betrifft jeden Dienst, der EXPORT-Chiffren innerhalb einer SSL/TLS-Session anbietet. Die Entwickler verschiedener SSL-Libraries arbeiten an Patches, um diese Schwachstelle zu beseitigen. Bis dahin ist es am einfachsten, die Nutzung von EXPORT-Chiffren einfach zu verbieten. Der Server bietet dann keine EXPORT-Chiffre an, und die Schwachstelle kann nicht ausgenutzt werden.

In Dovecot muss dazu in der Datei /etc/dovecot/conf.d/10-ssl.conf der Parameter ssl_cipher_list aktiviert und editiert werden. Folgende Optionen müssen mindestens gegeben werden:

# SSL ciphers to use
ssl_cipher_list = ALL:!LOW:!SSLv2:!EXP:!aNULL:!EXPORT

Nach einem doveadm reload ist der IMAP-Server gegen FREAK gesichert.

Patrick Koetter, 04. March 2015

   Security    SSL    IMAP    POP3