Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2283 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Logiciels

  Postfix: bloquer usage de TLS pour un serveur distant

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Postfix: bloquer usage de TLS pour un serveur distant

n°1304863
Hanka
Posté le 17-02-2012 à 15:39:25  profilanswer
 

Bonjour,  
 
Nous utilisons postfix sur une Debian Squeeze sur lequel nous avons implémenté le TLS/SSL et nous rencontrons un problème.  
 
L'un de nos partenaires commerciaux a changé récemment son serveur mail et depuis, il ne parvient plus à nous envoyer de message.  
 
Nous avons décelé un problème au niveau de la version de TLS configuré sur son serveur.  
 
Nous sommes dans l'impasse, le partenaire n'est pas du tout technicien (il sait tout juste cliquer sur envoyer dans son client mail), il n'a pas de service informatique interne et passe par un prestataire de service qui réfute tout problème sur son serveur.  
 
Notre serveur mail brasse plusieurs milliers de mails par jour sans autre problème de ce type. Grâce à nos journaux, nous pouvons prouver que c'est depuis qu'il passe en TLS qu'il ne peut plus nous envoyer de message, mais nous nous heurtons à un mur.  
 
Existe-t-il une directive dans postfix qui ferait que lorsque son serveur se connecte sur le nôtre, il ne déclare pas la possibilité d'utiliser le TLS?  
 
Nous avons regardé au niveau des directives smtpd_cleint_restrictions.
 
Nous cherchons encore.  
 
merci d'avance pour vos lumières.

mood
Publicité
Posté le 17-02-2012 à 15:39:25  profilanswer
 

n°1304927
roscocoltr​an
L'enfer c'est les utilisateurs
Posté le 18-02-2012 à 00:32:34  profilanswer
 

Vous voyez quoi dans les logs ?
 
Vous êtes sûr qu'il utilise le port 25 et pas 465 ? Il se peut aussi qu'il y ait un problème de certificat de son côté.
 


---------------
"Your god is too small", Giordano Bruno, 1548 - 1600
n°1305051
Hanka
Posté le 20-02-2012 à 09:08:05  profilanswer
 

Bonjour,
 
Mes entrées dans les journaux
 

Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: initializing the server-side TLS engine
Feb 17 14:15:38 nxxxxx postfix/smtpd[29220]: warning: 91.183.XXX.XXX: hostname XXX.XXX.XXX.XXX.adsl-static.isp.belgacom.be verification failed: Name or service not known
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: connect from unknown[91.183.xxx.xxx]
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: setting up TLS connection from unknown[91.183.xxx.xxx]
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: unknown[91.183.xxx.xxx]: TLS cipher list "ALL:!EXPORT:!LOW:+RC4:@STRENGTH"
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:before/accept initialization
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: unknown[91.183.xxx.xxx]: looking up session 45B76FC4858D2D69BACF1F79D574019A635BD3F9C94F18D3812E4EBF9CA35A91&s=smtps in smtpd cache
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 read client hello B
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 write server hello A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 write certificate A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 write server done A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 flush data
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 read client key exchange A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 read finished A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 write change cipher spec A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 write finished A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 flush data
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: unknown[91.183.xxx.xxx]: save session 12A03C92C056EB5C25F3B03EEAFE8D1BD9C957B6FE8F94B13DED4F6CBCA76677&s=smtps to smtpd cache
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: Anonymous TLS connection established from unknown[91.183.xxx.xxx]: SSLv3 with cipher RC4-MD5 (128/128 bits)
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: NOQUEUE: reject: RCPT from unknown[91.183.xxx.xxx]: 554 5.7.1 <destinataire@mondomaine>: Recipient address rejected: Access denied; from=<expéditeur@sondomaine> to=<destinataire@mondomaine> proto=ESMTP helo=<sonserveurmail@sondomaine.com>
Feb 17 14:15:39 nxxxx postfix/smtpd[29220]: disconnect from unknown[91.183.xxx.xxx]


n°1305053
Hanka
Posté le 20-02-2012 à 09:40:12  profilanswer
 

Nous pensons avoir une piste.  
 
Sur cette ligne, nous constatons que notre correspondant utilise SSLv3
 

Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: Anonymous TLS connection established from unknown[91.183.xxx.xxx]: SSLv3 with cipher RC4-MD5 (128/128 bits)  
 


 
Alors qu'auparavant, elle utilisait TLSv1
 
Nous allons faire un test en forçant l'usage de TLSv1 et nous verrons le résultat.

n°1305068
Hanka
Posté le 20-02-2012 à 10:46:32  profilanswer
 

Je confirme qu'en ajoutant la directive  


-o smtpd_tls_mandatory_protocols=TLSv1,!SSLv2,!SSLv3


Dans mon fichier de configuration, je reçois ses mails. J'ai un beau message d'erreur dans mon journal concernant sa version de SSLv3, mais ça passe.
(s3_srvr.c:786)  
Je laisse comme ça pour l'instant, mais je lui ai fait suivre l'info pour que nos autres partenaires qui utilisent le SSLv3 sans problème puissent continuer à l'utiliser.


Message édité par Hanka le 20-02-2012 à 10:51:40

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Logiciels

  Postfix: bloquer usage de TLS pour un serveur distant

 

Sujets relatifs
Concevoir un serveur web mutualisé (sécurisé)SMTP relais avec postfix
[Résolu] Avoir un serveur de jeu chez soi ?Probleme de routage sur un serveur pptp
mailman avec webinterface sur un autre serveur en reverse proxyinstallation serveur samba
postfix, relayhost et gestion des bouncedServeur imap haute dispo
Problème de droit profil xp sur serveur samba!Serveur LAMP non trouvé ds Netcraft mais néanmoins accessible.
Plus de sujets relatifs à : Postfix: bloquer usage de TLS pour un serveur distant


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR