(このブログ記事はこちらの英語版記事の翻訳になります。最新の記事ではないので内容がいくらか古いものであることをご了承ください)

 

 

コンプライアンスに適合していくためにはサポートには多くMEG 7.x にて SSLv2を無効にする方法の質問をよく受けます。

MEG 7.x にてSSLv2を無効にする方法

技術的記事 ID:  KB76671

 

環境:

McAfee Email Gateway 7.x

 

要約:

コンプライアンススキャンに適合するには、Email GatewayのSSLv2を無効にする必要があります。

 

SSLv2 が有効になっているかどうかを確認する方法:

    アプライアンスに対してSSHセッションを開く。詳細な方法はKB60469を参照してください。

    下記のコマンドを実行します:

 

    openssl s_client -connect <アプライアンス_IP>:25 -starttls smtp -ssl2

 

    注) <アプライアンス_IP> はチェックを行うアプライアンスのIPアドレスです。

 

    ハンドシェイクが完了したかどうか確認します。

 

 

SMTP TLSにてSSLv2を無効にする:


    アプライアンスの設定ファイルをエクスポートし解凍します:

        新しいフォルダを作成し、名前を入力する。(例) Appliance_config_backup

        アプライアンスの管理コンソールにログオンし、システム、システムの管理、構成管理 に移動してください。

        「構成をバックアップ」をクリックして、リンクをクリックして構成を保存してください。

        新しいフォルダにこの構成を保存します。


        注意: 構成ファイル名にある番号は新バージョンやアップデートによって変更になります。


        構成ファイルを右クリックして「Winzipで開く」を選択してください。

        ダイアログボックスの一番上の「解凍」ボタンをクリックして、新しいフォルダに保存先を選択して、解凍をクリックします。

        バックアップの場所に構成ファイル(.zip) のコピーを保存しておきます。


        注意: .zip ファイルから解凍したフォルダを削除したり移動したりしないでください。


     アプライアンスの構成ファイルを編集します:

        解凍したフォルダに移動し、ファイル名「smtp-config.xml」があることを確認します。

        smtp-config.xml を右クリックし、ワードパッドで開きます。

        ファイル内でキーワード「ForbiddenCiphers」を検索します。このエントリーは下記のテキスト部分が続きます:


        <encryption>

          <ForbiddenCiphers>

            <Attr value="aNULL" name="0"/>

          </ForbiddenCiphers>

          <PermissibleCiphers>

            <Attr value="ALL" name="0"/>

          </PermissibleCiphers>

        </encryption>


        上記のエントリーを下記に変更します。


        <encryption>

           <ForbiddenCiphers>

            <Attr value="aNULL" name="0"/>

            <Attr value="SSLv2" name="1"/>

           </ForbiddenCiphers>

           <PermissibleCiphers>

             <Attr value="ALL" name="0"/>

           </PermissibleCiphers>

         </encryption>


        ファイルを保存してください。

        以前作成したフォルダ以下で解凍された3つのサブフォルダをすべて選択して、右クリック⇒Winzip⇒Zipファイルに追加をクリックします。

        Newをクリックしてください

        一つ上のアイコンをクリックしてください。

        ファイル名のフィールドで、「type edited_config.zip」と入力し、それからOKをクリックしてください。

        Add をクリックしてください。


    アプライアンスに構成ファイルを復元します:

        アプライアンスの管理コンソールにログオンし、システム、システムの管理、構成管理 に移動してください。

        「ファイルから読み込む」をクリックして、作成した.zip ファイルを選択して、そしてOKをクリックしてください。

        復元する項目を選択して、OKをクリックしてください。

        閉じるをクリックしてください。

        設定の変更を適用します。

        コメントを入力してOKをクリックしてください。


    SSLv2が無効になっていることを確認します:

        アプライアンスのSSHセッションを開きます。詳細はKB60469 を参照してください。

        下記のコマンドを入力します。:


        openssl s_client -connect <アプライアンス_IP>:25 -starttls smtp -ssl2

        下記のようなエラーメッセージが表示されるはずです:


        error:1406D0B8:SSL routines:GET_SERVER_HELLO:no cipher list:s2_clnt.c:450:


これでSSLv2 はアプライアンスのSMTP TLSで無効になりました。