komunikace mailserveru - MAIL FROM (vyřešeno)

Ta hlaska je v poradku - dva servery z toho seznamu vubec neposkytuji SMTP. Spis je otazka, proc Tvuj mailserver nezkousi ty ostatni a pokud zkousi, proc to neprojde pres ne. Chce to logy, pripadne zkusit rucne, treba takhle:

[root@hactar ~]# telnet mail.administer.cz 25
Trying 80.95.104.194...
Connected to mail.administer.cz.
Escape character is '^]'.
220 mail.administer.cz Microsoft ESMTP MAIL Service, Version: 6.0.3790.4675 ready at Sat, 14 Mar 2015 10:16:21 +0100
ehlo hactar.pupu.cz
250-mail.administer.cz Hello [88.208.110.148]
250-TURN
250-SIZE
250-ETRN
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-8bitmime
250-BINARYMIME
250-CHUNKING
250-VRFY
250-TLS
250-STARTTLS
250-X-EXPS GSSAPI NTLM
250-AUTH GSSAPI NTLM
250-X-LINK2STATE
250-XEXCH50
250 OK
mail from: pupu@pupu.cz
250 2.1.0 pupu@pupu.cz....Sender OK
rcpt to: postmaster@administer.cz
250 2.1.5 postmaster@administer.cz
data
354 Start mail input; end with <CRLF>.<CRLF>
^]
telnet> quit
Connection closed.

15.3.2015 23:04 f1lo | skóre: 16
Rozbalit Rozbalit vše Re: komunikace mailserveru - MAIL FROM

Tak tohle jsem našel v logu při komunikaci se serverem administer.cz:

postfix/smtp[26268]: warning: TLS library problem: 26268:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:339:

Takže předpokládám bude potřeba aktualizovat nějaký balíček openssl? Přepodkládám openssl? Ještě se zkusím podívat na internetu, přiznám jsem, že tenhle příspěvek píši a ještě jsem nezkoušel chybovou hlášku hledat na netu.

15.3.2015 23:55 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: komunikace mailserveru - MAIL FROM

openssl s_client -connect mail.administer.cz:25 -starttls smtp

New, TLSv1/SSLv3, Cipher is RC4-MD5 Server public key is 1024 bit

Ne, spíš pro ně povolit slabé šifry a protokoly. Bohužel netuším jak se to dá udělat, možná jim budeš muset nastavit wrapper.

16.3.2015 07:23 Filip Jirsák
Rozbalit Rozbalit vše Re: komunikace mailserveru - MAIL FROM

Spíš to vypadá, že máte v knihovně OpenSSL natvrdo vypnutou podporu SSLv3 - některé distribuce to tak myslím udělaly, místo aby se vypnula podpora SSLv3 v každé jednotlivé aplikaci konfiguračně, mají OpenSSL zkompilované bez podpory SSLv3. Důvod je ten, že pro SSLv3 je známo dost zranitelností a důrazně se doporučuje místo toho používat alespoň TLS 1.0 (což je nástupce SSLv3).

No a protistrana zřejmě při šifrované komunikaci podporuje jen SSLv3 a nic novějšího. Divné je, že se ty servery ale nedokážou dohodnout na tom, že nepodporují žádnou společnou šifru a že tudíž budou komunikovat nešifrovaně. Máte v smtp_tls_mandatory_protocols nebo smtp_tls_protocols nakonfigurované, že Postfix nemá používat SSLv3? Protože Postfix asi nezjistí, že to OpenSSL knihovna nepodporuje, a je myslím potřeba mu to explicitně říci.

Případně můžete v konfiguraci nastavit, že se pro danou doménu nemá používat SSL/TLS, ale tím problém jenom obejdete pro jednu známou problémovou doménu (může se to hodit, pokud potřebujete pro tu doménu hlavně už odesílat e-maily, a mít klid na vyřešení podstaty problému).

16.3.2015 09:25 f1lo | skóre: 16
Rozbalit Rozbalit vše Re: komunikace mailserveru - MAIL FROM

Dobrý den, děkuji za vaše reakce. Snažil jsem se postupovat podle návodu zde: http://disablessl3.com/#postfix

tedy do /etc/postfix/main.cf přidat následující:

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3

smtp_tls_mandatory_protocols=!SSLv2,!SSLv3

smtpd_tls_protocols=!SSLv2,!SSLv3

smtp_tls_protocols=!SSLv2,!SSLv3

a do /etc/dovecot/dovecot.conf přidat následující:
ssl_protocols = !SSLv2 !SSLv3

Následně jsem provedl restart služeb:

/etc/init.d/postfix restart

/etc/init.d/dovecot restart

a zkusil jsem odeslat testovací email na nějakou z adres domény administer.cz, ovšem v logu se zobrazuje stejné chybové hlášení, provedl jsem tedy nějaký krok chybně?

16.3.2015 11:15 f1lo | skóre: 16
Rozbalit Rozbalit vše Re: komunikace mailserveru - MAIL FROM

Nejspíše jsem testováním přišel na správnou konfiguraci:
/etc/postfix/main.cf přidat následující:
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3

a do /etc/dovecot/dovecot.conf přidat následující:
ssl_protocols = !SSLv2 !SSLv3

Následně jsem provedl restart služeb:

/etc/init.d/postfix restart

/etc/init.d/dovecot restart

Podle logu email již odešel bez jakékoliv chyby. Ještě počkám na zpětnout odpověď od člověka, kterému jsem email posílal. Děkuji za vaši podporu.

16.3.2015 11:54 f1lo | skóre: 16
Rozbalit Rozbalit vše Re: komunikace mailserveru - MAIL FROM

Tak jsem se asi unáhlil, v logu se objevuje stále stejná chybová hláška a server stále odmítá spojení, nevíte kde by mohl být problém?

Řešení 1× (f1lo (tazatel))

16.3.2015 12:28 Filip Jirsák
Rozbalit Rozbalit vše Re: komunikace mailserveru - MAIL FROM

Určitě si můžete přes smtp_tls_per_site nastavit, že pro danou doménu se TLS nemá vůbec používat. Pokud to budete dál ladit, nastavte si smtp_tls_loglevel alespoň na 2, ať máte v logu zapsáno, jak přesně se o TLS vyjednávalo.

Nejsem si jist, jak přesně to má fungovat, pokud se při StartTLS nepodaří dohodnout šifra – zda je v protokolu možnost návratu k nešifrovanému spojení, případně zda to umí udělat Postfix (spojení ukončit a navázat nové s tím, že už se o TLS nebude pokoušet). Další věc je zkusit kontaktovat administrátora toho cílového serveru, protože pokud ten server podporuje jen SSLv3, bude s tím podle mne mít problémy a je v jeho vlastním zájmu upgradovat na bezpečnější protokoly.

16.3.2015 12:58 Filip Jirsák
Rozbalit Rozbalit vše Re: komunikace mailserveru - MAIL FROM

Ještě jsem to zkoušel – pořád to hlásí wrong version number? Když jsem to zkoušel, poštovní servery administer.cz podporují TLSv1, ale posílají expirovaný certifikát. To je pak asi správně, že váš server odmítne pokračovat a spojení ukončí. To ale musí vyřešit správce administer.cz (a vy zatím můžete pro tu doménu TLS úplně vypnout, jak jsem psal v předchozím komentáři) Akorát mi není moc jasná souvislost mezi touhle chybou a tou wrong version number, podle mne jsou to dvě nezávislé chyby.

16.3.2015 13:26 f1lo | skóre: 16
Rozbalit Rozbalit vše Re: komunikace mailserveru - MAIL FROM

Dobrý den,

děkuji za vaše reakce, v logu jsem si po vaší doporučované úpravě úrovně logování všiml, že využívají TLSv1. Expirace certifikátu jsem si již nevšiml. Přidal jsem tedy doménu do výjimek a již to nejspíše frčí v pořádku, alespoň v logu se již žádná chyba nezobrazuje.

Informuji o tomto faktu administer.cz, snad se toho ujme nějaká kompetentní osoba, děkuji za vaši pomoc.

16.3.2015 10:31 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: komunikace mailserveru - MAIL FROM

Divné je, že se ty servery ale nedokážou dohodnout na tom, že nepodporují žádnou společnou šifru a že tudíž budou komunikovat nešifrovaně.

To je snad dobře, ne?

Hello world ! Segmentation fault (core dumped)

16.3.2015 10:33 f1lo | skóre: 16
Rozbalit Rozbalit vše Re: komunikace mailserveru - MAIL FROM

Z důvodu bezpečnosti ano, ovšem z uživatelského hlediska to až tak dobré není :-(

. Například z Gmailu mi email na administer.cz odejde v pořádku.

16.3.2015 10:50 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: komunikace mailserveru - MAIL FROM

Z uživatelského hlediska je potřeba to opravit.

Hello world ! Segmentation fault (core dumped)

16.3.2015 11:53 f1lo | skóre: 16
Rozbalit Rozbalit vše Re: komunikace mailserveru - MAIL FROM

Teď vám asi nerozumím. Myslel jste, že je dobře, že nebudou komunikovat nešifrovaně, pokud se nedohodnou na společném šifrování, které oba poštovní servery podporují? S tímto souhlasím, ale opravu by v tom případě museli provést na straně administer.cz, což je pro mě nevhodné čekat na opravu (podporu novějšího šifrování) z jejich strany, navíc takových serverů může být více.

16.3.2015 12:06 Filip Jirsák
Rozbalit Rozbalit vše Re: komunikace mailserveru - MAIL FROM

Dobře by to bylo, pokud by SSL komunikace byla povinná. Pokud je ale nakonfigurováno „použij ji, pokud je k dispozici“, má se použít nešifrovaná komunikace, pokud se šifrované spojení nepodaří navázat.

Dotaz: komunikace mailserveru - MAIL FROM

Odpovědi