Postfix: bloquer usage de TLS pour un serveur distant

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Postfix: bloquer usage de TLS pour un serveur distant

Hanka

Bonjour,

Nous utilisons postfix sur une Debian Squeeze sur lequel nous avons implémenté le TLS/SSL et nous rencontrons un problème.

L'un de nos partenaires commerciaux a changé récemment son serveur mail et depuis, il ne parvient plus à nous envoyer de message.

Nous avons décelé un problème au niveau de la version de TLS configuré sur son serveur.

Nous sommes dans l'impasse, le partenaire n'est pas du tout technicien (il sait tout juste cliquer sur envoyer dans son client mail), il n'a pas de service informatique interne et passe par un prestataire de service qui réfute tout problème sur son serveur.

Notre serveur mail brasse plusieurs milliers de mails par jour sans autre problème de ce type. Grâce à nos journaux, nous pouvons prouver que c'est depuis qu'il passe en TLS qu'il ne peut plus nous envoyer de message, mais nous nous heurtons à un mur.

Existe-t-il une directive dans postfix qui ferait que lorsque son serveur se connecte sur le nôtre, il ne déclare pas la possibilité d'utiliser le TLS?

Nous avons regardé au niveau des directives smtpd_cleint_restrictions.

Nous cherchons encore.

merci d'avance pour vos lumières.

Publicité

roscocoltran

L'enfer c'est les utilisateurs

Vous voyez quoi dans les logs ?

Vous êtes sûr qu'il utilise le port 25 et pas 465 ? Il se peut aussi qu'il y ait un problème de certificat de son côté.

---------------
"Your god is too small", Giordano Bruno, 1548 - 1600

Hanka

Bonjour,

Mes entrées dans les journaux

Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: initializing the server-side TLS engine
Feb 17 14:15:38 nxxxxx postfix/smtpd[29220]: warning: 91.183.XXX.XXX: hostname XXX.XXX.XXX.XXX.adsl-static.isp.belgacom.be verification failed: Name or service not known
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: connect from unknown[91.183.xxx.xxx]
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: setting up TLS connection from unknown[91.183.xxx.xxx]
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: unknown[91.183.xxx.xxx]: TLS cipher list "ALL:!EXPORT:!LOW:+RC4:@STRENGTH"
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:before/accept initialization
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: unknown[91.183.xxx.xxx]: looking up session 45B76FC4858D2D69BACF1F79D574019A635BD3F9C94F18D3812E4EBF9CA35A91&s=smtps in smtpd cache
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 read client hello B
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 write server hello A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 write certificate A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 write server done A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 flush data
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 read client key exchange A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 read finished A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 write change cipher spec A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 write finished A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 flush data
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: unknown[91.183.xxx.xxx]: save session 12A03C92C056EB5C25F3B03EEAFE8D1BD9C957B6FE8F94B13DED4F6CBCA76677&s=smtps to smtpd cache
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: Anonymous TLS connection established from unknown[91.183.xxx.xxx]: SSLv3 with cipher RC4-MD5 (128/128 bits)
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: NOQUEUE: reject: RCPT from unknown[91.183.xxx.xxx]: 554 5.7.1 <destinataire@mondomaine>: Recipient address rejected: Access denied; from=<expéditeur@sondomaine> to=<destinataire@mondomaine> proto=ESMTP helo=<sonserveurmail@sondomaine.com>
Feb 17 14:15:39 nxxxx postfix/smtpd[29220]: disconnect from unknown[91.183.xxx.xxx]

Hanka

Nous pensons avoir une piste.

Sur cette ligne, nous constatons que notre correspondant utilise SSLv3

Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: Anonymous TLS connection established from unknown[91.183.xxx.xxx]: SSLv3 with cipher RC4-MD5 (128/128 bits)

Alors qu'auparavant, elle utilisait TLSv1

Nous allons faire un test en forçant l'usage de TLSv1 et nous verrons le résultat.

Hanka

Je confirme qu'en ajoutant la directive

-o smtpd_tls_mandatory_protocols=TLSv1,!SSLv2,!SSLv3

Dans mon fichier de configuration, je reçois ses mails. J'ai un beau message d'erreur dans mon journal concernant sa version de SSLv3, mais ça passe.
(s3_srvr.c:786)
Je laisse comme ça pour l'instant, mais je lui ai fait suivre l'info pour que nos autres partenaires qui utilisent le SSLv3 sans problème puissent continuer à l'utiliser.

Message édité par Hanka le 20-02-2012 à 10:51:40

FORUM HardWare.fr

Linux et OS Alternatifs

Logiciels

Postfix: bloquer usage de TLS pour un serveur distant

Sujets relatifs
Concevoir un serveur web mutualisé (sécurisé)	SMTP relais avec postfix
[Résolu] Avoir un serveur de jeu chez soi ?	Probleme de routage sur un serveur pptp
mailman avec webinterface sur un autre serveur en reverse proxy	installation serveur samba
postfix, relayhost et gestion des bounced	Serveur imap haute dispo
Problème de droit profil xp sur serveur samba!	Serveur LAMP non trouvé ds Netcraft mais néanmoins accessible.
Plus de sujets relatifs à : Postfix: bloquer usage de TLS pour un serveur distant

Page générée en 0.036 secondes