Portál AbcLinuxu, 6. května 2025 17:45

Dotaz: Cent OS 8 - postfix SSL problém

4.11.2019 17:22 filbar | skóre: 36 | blog: Denicek_programatora | Ostrava
Cent OS 8 - postfix SSL problém
Přečteno: 532×
Odpovědět | Admin
Přemigroval jsem server na CentOS 8 a postfix mi začal dělat problémy s přijmem některé pošty.

Podle logu to vypadá na nějaký problém se SSL: 
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: connect from ms.ditipo.cz[80.251.248.2]
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: setting up TLS connection from ms.ditipo.cz[80.251.248.2]
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: ms.ditipo.cz[80.251.248.2]: TLS cipher list "aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH"
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: SSL_accept:before SSL initialization
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: read from 563C7D535510 [563C7D548383] (5 bytes => 0 (0x0))
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: read from 563C7D535510 [563C7D548383] (5 bytes => 5 (0x5))
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: 0000 16 03 01 00 5c                                   ....\
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: read from 563C7D535510 [563C7D548388] (92 bytes => 92 (0x5C))
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: 0000 01 00 00 58 03 01 5d c0|4e 9e b9 31 4e aa d8 dc  ...X..]. N..1N...
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: 0010 72 8c fd e4 dd ae 37 64|01 05 d4 14 4f 0b 7e d5  r.....7d ....O.~.
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: 0020 23 a2 1f 25 60 3a 00 00|18 00 2f 00 35 00 05 00  #..%`:.. ../.5...
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: 0030 0a c0 09 c0 0a c0 13 c0|14 00 32 00 38 00 13 00  ........ ..2.8...
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: 0040 04 01 00 00 17 00 0a 00|08 00 06 00 17 00 18 00  ........ ........
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: 0050 19 00 0b 00 02 01 00 ff|01 00 01                 ........ ...
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: 005b - <SPACES/NULLS>
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: SSL_accept:before SSL initialization
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: write to 563C7D535510 [563C7D525410] (7 bytes => 7 (0x7))
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: 0000 15 03 01 00 02 02 46                             ......F
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: SSL3 alert write:fatal:protocol version
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: SSL_accept:error in error
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: SSL_accept error from ms.ditipo.cz[80.251.248.2]: -1
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: warning: TLS library problem: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol:ssl/statem/statem_srvr.c:1655:
Nov  4 17:15:34 filbar8 postfix/smtpd[5700]: lost connection after STARTTLS from ms.ditipo.cz[80.251.248.2]
Nevíte v čem by mohl být problém?
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

4.11.2019 17:36 wiz
Rozbalit Rozbalit vše Re: Cent OS 8 - postfix SSL problém
Odpovědět | | Sbalit | Link | Blokovat | Admin
OpenSSL nemá povoleno použít SSLv3 (což je dobře, protože tato verze protokolu je dávno považována za bezpečnostní riziko).
4.11.2019 17:41 filbar | skóre: 36 | blog: Denicek_programatora | Ostrava
Rozbalit Rozbalit vše Re: Cent OS 8 - postfix SSL problém
A jde v takovém případě nějak přepnout na nešifrovanou komunikaci?
4.11.2019 21:29 V.
Rozbalit Rozbalit vše Re: Cent OS 8 - postfix SSL problém
Co takhle najít lepší kombinaci šifrování ... viz např. https://scottlinux.com/2014/06/05/check-for-smtp-tls-from-command-line-with-openssl/
5.11.2019 07:20 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: Cent OS 8 - postfix SSL problém
nebylo by lepsi SSL3 proste v postfixu vypnout aby ho ani pozuivat nemohl? Mam to vypnute uz davno, a snad se vsema serverama se na nejakem TLS dohodne.

Max avatar 5.11.2019 07:37 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Cent OS 8 - postfix SSL problém
Odpovědět | | Sbalit | Link | Blokovat | Admin
Jaké máš nastavení TLS? Myslím si, že by mohlo vypadat nějak takto : 
# zakázat nebezpečené protokoly
smtpd_tls_security_level = encrypt
smtpd_tls_mandatory_protocols = !SSLv1, !SSLv1.1, !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv1, !SSLv1.1, !SSLv2, !SSLv3
smtp_tls_security_level = may
smtp_tls_mandatory_protocols = !SSLv1, !SSLv1.1, !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv1, !SSLv1.1, !SSLv2, !SSLv3

# timeout pro spojení
smtpd_starttls_timeout = 300s

# vynutit vlastní preference pro šifrování
tls_preempt_cipherlist = yes

# úroveň zabezpečení a definice nebezpečných šifer, které nepoužívat
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtpd_tls_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtp_tls_mandatory_ciphers = high
smtp_tls_mandatory_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtp_tls_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
Jinak zajímavé tipy na nastavení má u sebe i RH : Securing postfix with SSL/TLS on RHEL7
Zdar Max
Měl jsem sen ... :(

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.