b-shock. Fortress

Dovecot 2.3への更新

FreeBSD Portsのdovecotパッケージが、2.3.1に更新された。

設定ファイルの書き換えが若干必要。
今どき、自分でPOP3/IMAPサーバを立てる需要がどれほどあるかは知らんけどw

ssl_protocolsディレクティブを削除

設定ファイルに以下の様な記述があったはずと思うけど。

1
ssl_protocols = !SSLv2 !SSLv3

ssl_protocols は非推奨になった。 加えて、 SSLv2 という値は廃止された。 (SSLv3 もついでに廃止して良かったはずと思うが)

同様の意味であれば、今後はこう書けとのこと。

1
ssl_min_protocol = TLSv1

この TLSv1 以上という指定は ssl_min_protocol の記述自体がないときのデフォルトだが、 書かれていないとWARNINGが出るので、明示的に記述するべき。

DHパラメータの設定

パッケージのインストール後に /var/db/dovecot/ssl-parameters.dat があることを確認し、 以下実行。

1
dd if=/var/db/dovecot/ssl-parameters.dat bs=1 skip=88 | openssl dhparam -inform der > /usr/local/etc/dovecot/dh.pem

実行後、設定ファイルに以下追記。

1
ssl_dh=</usr/local/etc/dovecot/dh.pem

これで ssl_dh に関するWARNINGは出なくなる。
service dovecot restart を実行。

設定ファイル全体

以上をふまえ、今個人的に使ってるのはこんなやつ。

plainやloginを許している以上、そろそろ非TLSの接続は廃止するべきだな。
(一応、認証の連続失敗で1週間のロックはしてる)