nessus 弱點掃描SSL Version 2 and 3 Protocol Detection問題

#security

duncan_hsiao 2020-12-22 15:00:55 ‧ 4185 瀏覽

分享至

請問大大，我使用nessus針對公司的主機做弱點掃描，有一項弱點是:
SSL Version 2 and 3 Protocol Detection，
報告內容是寫發生在PORT25，也就是smtp上
但我去查了一下，SMTP本身是沒有加密的，照理來說這個弱點不會出現在port25,
那我應該去哪裡升級這個SSL版本?
請問我是哪個環節搞錯了嗎?
請各位指導，謝謝

leeihsing0127 iT邦新手 5 級 ‧ 2020-12-22 15:45:54 檢舉

如果不是很嚴重的問題，我是不會去理會的，升級也是有風險的~

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

Ray

iT邦大神 1 級 ‧ 2020-12-22 15:46:15

最佳解答

你去查哪裡, 寫說 SMTP Port 25 沒有加密? 那下面這個是在寫甚麼?
RFC 3207: SMTP Service Extension for Secure SMTP over Transport Layer Security
(網管第一守則: 把你會碰到的通訊協定 RFC 文件全部熟讀一遍...)

Port 25 沒加密, Outlook 怎麼會有這些選項?

連 Gmail 都知道, 去抓別人的 SMTP Port 25 可以用 TLS 或 SSL 加密:

(至於 Port 587/465 就不提了, 因為樓主問 Port 25, 詳參:全部的 RFC 文件)

要查你的 SMTP port 25 有沒有加密? 總共有六種方法可以用:
Testing SMTP with command
Nessus 也是用這六種其中的兩三種方法去檢查...

SSL v2/v3 確實是風險, 如果你的 SMTP Server 必須對外開放的話, 最好修正到 TLS 1.2 以上的版本, 而且這個功能原本就內建, 很可能只是你沒有打開而已:
Postfix configure to use TLSv1.2

回應 2
分享
檢舉

duncan_hsiao iT邦新手 5 級 ‧ 2020-12-23 11:18:43 檢舉

大大你好，感謝指教，是我的講法錯誤，我查到的是SMTP是可以加密的，但會以下問題:
By default, all SMTP servers use port 25. But if you use SSL on port 25, non-SSL servers won't be able to connect through that port. And if you use a nonstandard port number, other servers won't be able to find your servers.
(https://www.itprotoday.com/email-and-calendaring/securing-smtp-email-traffic )，並不是想表達SMTP無法加密，在此修正。

另外大大所提供的解法，是適用任何mail server嗎?因我並不是mail server的管理員，沒有權限下去測試。