Отключаем SSLv2 для защиты от атаки [[https://www.opennet.me/opennews/art.shtml?num=43971 DROWN]], позволяющей с MITM-хоста получить доступ к защищённому каналу связи между клиентом и уязвимым сервером. Уязвимость проявляется если сервер поддерживает SSLv2 (не важно какой протокол используется в текущем сеансе, какая реализация библиотеки шифрования используется и какие протоколы поддерживает клиент).

Отключение SSLv2 в nginx (в версиях 0.7.64, 0.8.18 и младше SSLv2 включен по умолчанию):

   ssl_protocols TLSv1 TLSv1.1 TLSv1.2

Отключение SSLv2 в Apache httpd (в httpd 2.2.x и младше SSLv2 включен по умолчанию ):

   SSLProtocol All -SSLv2 -SSLv3

Отключение SSLv2 в Postfix (в версиях  2.9.13, 2.10.7, 2.11.5, 3.0.1 и младше SSLv2 включен по умолчанию)):

    smtpd_tls_protocols = !SSLv2, !SSLv3
    smtp_tls_protocols = !SSLv2, !SSLv3
    lmtp_tls_protocols = !SSLv2, !SSLv3
    tlsproxy_tls_protocols = $smtpd_tls_protocols

    smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
    smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
    lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3
    tlsproxy_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols

    smtpd_tls_ciphers = medium
    smtp_tls_ciphers = medium

    smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem
    smtpd_tls_eecdh_grade = strong

    smtp_tls_exclude_ciphers =
        EXPORT, LOW, MD5,
        aDSS, kECDHe, kECDHr, kDHd, kDHr,
        SEED, IDEA, RC2
    smtpd_tls_exclude_ciphers =
        EXPORT, LOW, MD5, SEED, IDEA, RC2

URL: https://drownattack.com
Обсуждается: http://www.opennet.me/tips/info/2944.shtml

• Отключение SSLv2 для защиты сервера от атаки DROWN,A, 10:24 , 02-Мрт-16
• Отключение SSLv2 для защиты сервера от атаки DROWN,_KUL, 13:20 , 02-Мрт-16
• Отключение SSLv2 для защиты сервера от атаки DROWN,ALex_hha, 17:50 , 02-Мрт-16
  • Отключение SSLv2 для защиты сервера от атаки DROWN,asavah, 23:01 , 03-Мрт-16
• Отключение SSLv2 для защиты сервера от атаки DROWN,xwild, 19:27 , 07-Мрт-16
  • Отключение SSLv2 для защиты сервера от атаки DROWN,uniman_, 09:03 , 13-Мрт-16
• Отключение SSLv2 для защиты сервера от атаки DROWN,pavlinux, 02:36 , 08-Мрт-16
  • Отключение SSLv2 для защиты сервера от атаки DROWN,ALex_hha, 19:53 , 13-Мрт-16
• Отключение SSLv2 для защиты сервера от атаки DROWN,Demon, 09:51 , 30-Мрт-16
  • Отключение SSLv2 для защиты сервера от атаки DROWN,Аноним, 15:00 , 09-Апр-16

Будто бы Postfix - единственный MTA в природе. Писали бы нормально, и для Exim, и для (мы же не только SMTP используем, правда?) Dovecot.

Может быть лучше обновить библиотеки, чем отключать уязвимые компоненты старых версий?

omg, из криокамеры что ли вышли. Все это нормальные люди отключили еще при poodle

абсолютно идентичная мысля проскочила как "это" прочитал
нормальные люди 100 лет назад уже поотключали эту хрень

Сколько комментариев и все претензии, давно ничего не спрашиваю на русскоязычных форумах, в основном только самоутверждаются вместо ответа, знаешь чем дополнить, - дополни или молчи. Люди не только статью читают, но и комментарии.

>Сколько комментариев и все претензии, давно ничего не спрашиваю на русскоязычных форумах, в основном только самоутверждаются вместо ответа,

Таки да.

> smtp_tls_exclude_ciphers = EXPORT, LOW, MD5,  aDSS, kECDHe, kECDHr, kDHd, kDHr, SEED, IDEA, RC2
> smtpd_tls_exclude_ciphers =  EXPORT, LOW, MD5, SEED, IDEA, RC2

Какой придурок IDEA забанил? А RC4, DES/3DES оставили? Рекомендации от АНБ чтоль?

>  kECDHe, kECDHr, kDHd, kDHr,

Вот даже интересно, хоть кто знает, что тут написано и почему это надо отключать?  

> Сколько комментариев и все претензии, давно ничего не спрашиваю на русскоязычных форумах, в основном только самоутверждаются вместо ответа, знаешь чем дополнить, - дополни или молчи. Люди не только статью читают, но и комментарии.

ибо советовать в 2016 году отключить SSLv2 как то странно и даже без как то

Вообще бомба теперь уязвимы очень серьезные компании.

> Вообще бомба теперь уязвимы очень серьезные компании.

Они всегда были уязвимы. По определению, т.к. цена вопроса окупалась.