Привет! В данный момент мы настраиваем кластер pmg и стараемся выполнить все требования en.internet.nl. Технические детали: Почтовый сервер (MX) обнаружил небезопасный набор шифров XXX.XXX.XXX. ADH-AES256-GCM-SHA384 XXX.XXX.XXX. ADH-AES256-GCM-SHA384.

pmg по-прежнему использует небезопасный шифр, я несколько раз менял это в main.cf, но система каждый раз перезаписывает настройки на значения по умолчанию. Кто-нибудь знает, как настроить шифр на высокий уровень безопасности? Заранее спасибо!

Мне кажется, он тоже ищет что-то вроде этого: #132. Ах да, а) тебе стоит прочесть весь пост с полной информацией, б) лучше использовать более простые тесты, например hardenize.com или ssllabs.com (последний — только для сайтов), в) стоит также обратить внимание (тоже только для сайтов) на observatory.mozilla.org и gtmetrix.com. Например, DNSSEC по своей сути изначально сломан, и что хуже — это ещё и уязвимость, потому что DNSSEC можно использовать для усиления DNS DDoS атак. DANE такая же история — сломан с самого начала и зависит от DNSSEC. А вот атака BREACH на мой сайт, судя по всему, не должна сработать, так как у меня включён HSTS и сайт в preload-листе. Использовать IPv6 для почтового сервера сейчас не лучшая идея, потому что с IPv6 хуже защита от спама. Я также экспериментирую с другими "сломанными с самого начала" технологиями, вроде SPF, DKIM и DMARC на своей личной тестовой системе — вот такие пока результаты.