Тюнинг Kaspersky Secure Mail Gateway 2.0.1

By user2033
July 12, 2023 in Kaspersky Security for Mail Server

https://forum.kaspersky.com/topic/%D1%82%D1%8E%D0%BD%D0%B8%D0%BD%D0%B3-kaspersky-secure-mail-gateway-201-34989/

Followers 0

Recommended Posts

user2033

Posted July 12, 2023

Posted July 12, 2023 (edited)

Хочу поделится настройками безопасности postfix для Kaspersky Secure Mail Gateway 2.0.1 (о всех настройках и их описании можно узнать на официальном сайте Postfix):

Для кого не критично, можно также отключить и поддержку TLSv1.1. Буду рад комментариям со стороны разработчиков KSMG, возможно какие-то из настроек можно было не добавлять.

Файл /opt/kaspersky/ksmg-appliance-addon/share/templates/main.cf.template

smtpd_tls_protocols = TLSv1.2, TLSv1.1, !TLSv1, !SSLv2, !SSLv3 (было !SSLv2, !SSLv3)
smtpd_tls_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, CAMELLIA128, 3DES, CAMELLIA256, eNULL, aNULL, EXP, MEDIUM, LOW, SSLv2 (было EXP, MEDIUM, LOW, DES, 3DES, SSLv2)
smtpd_tls_mandatory_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, CAMELLIA128, 3DES, CAMELLIA256, eNULL, aNULL, EXP, MEDIUM, LOW, SSLv2 (строки не было)

smtpd_tls_ciphers = high (строки не было)
smtpd_tls_mandatory_ciphers = high (строки не было)
smtpd_tls_eecdh_grade = strong (строки не было) или ultra (более сильнее нагружает процессор судя из официального описания)

tls_high_cipherlist = !CAMELLIA:HIGH:@STRENGTH (строки не было)
tls_preempt_cipherlist = yes (строки не было)

smtp_tls_protocols = TLSv1.2, TLSv1.1, !TLSv1, !SSLv2, !SSLv3 (было !SSLv2, !SSLv3)
smtp_tls_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, CAMELLIA128, 3DES, CAMELLIA256, eNULL, aNULL, EXP, MEDIUM, LOW, SSLv2 (было EXP, MEDIUM, LOW, DES, 3DES, SSLv2)
smtp_tls_mandatory_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, CAMELLIA128, 3DES, CAMELLIA256, eNULL, aNULL, EXP, MEDIUM, LOW, SSLv2 (строки не было)
smtp_tls_ciphers = high (строки не было)
smtp_tls_mandatory_ciphers = high (строки не было)

Edited July 12, 2023 by user2033
дополнение материала