Postfix 3.4.9 SSL 问题 - 使用 TLSv1 的服务器没有共享密码

Postfix 3.4.9 SSL 问题 - 使用 TLSv1 的服务器没有共享密码

编辑1:我已将范围缩小到下面列出的两台服务器(其他服务器尚未失败)正在尝试使用的 TLSv1。我将联系他们的网站管理员,要求他们停止使用不安全的协议,但同时仍想弄清楚他们正在尝试使用的密码并暂时启用它。我已经相应地调整了标题。

编辑2:标题中添加了 Postfix 版本

编辑3:我已经设法使用

smtpd_discard_ehlo_keyword_address_maps = hash:/etc/postfix/smtpd_discard_ehlo_keywords

/etc/postfix/smtpd_discard_ehlo_keywords(文件名不重要)包含:

<broken-server-ip> starttls

我仍然很好奇这些服务器使用的是哪种 TLSv1 密码,但现在我可以针对这些情况关闭每个主机的 TLS,我很满意。将此信息留在这里,供其他需要的人参考。

- - 原来的 - -

我开始运行 Debian Buster,并试图纠正这个问题,后来在解决这个问题时转移到了 sid。

我一直在解决一个问题,我无法从几个服务器(主要是 mxa3.ubusinessmotion.net 和 ny-smtp-dmz02.dmz.priceline.com)接收邮件

以下是我的 postfix 日志中的相关内容:

Mar  8 00:34:31 froxlor postfix/smtpd[67494]: setting up TLS connection from
mxa3.ubusinessmotion.net[208.27.251.227]
Mar  8 00:34:31 froxlor postfix/smtpd[67494]: mxa3.ubusinessmotion.net[208.27.251.227]: TLS cipher list "aNULL:-aNULL:HIGH:MEDIUM:LOW:EXPORT:+RC4:@STRENGTH"
Mar  8 00:34:31 froxlor postfix/smtpd[67494]: SSL_accept:before SSL initialization
Mar  8 00:34:31 froxlor postfix/smtpd[67494]: SSL_accept:before SSL initialization
Mar  8 00:34:31 froxlor postfix/smtpd[67494]: SSL3 alert write:fatal:handshake failure
Mar  8 00:34:31 froxlor postfix/smtpd[67494]: SSL_accept:error in error
Mar  8 00:34:31 froxlor postfix/smtpd[67494]: SSL_accept error from mxa3.ubusinessmotion.net[208.27.251.227]: -1
Mar  8 00:34:31 froxlor postfix/smtpd[67494]: warning: TLS library problem: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher:../ssl/statem/statem_srvr.c:2257:
Mar  8 00:34:31 froxlor postfix/smtpd[67494]: lost connection after STARTTLS from mxa3.ubusinessmotion.net[208.27.251.227]

Mar  8 00:18:31 froxlor postfix/smtpd[37732]: connect from ny-smtp-dmz02.dmz.priceline.com[64.6.20.6]
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: setting up TLS connection from ny-smtp-dmz02.dmz.priceline.com[64.6.20.6]
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: ny-smtp-dmz02.dmz.priceline.com[64.6.20.6]: TLS cipher list "aNULL:-aNULL:HIGH:MEDIUM:LOW:EXPORT:+RC4:@STRENGTH"
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: SSL_accept:before SSL initialization
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: SSL_accept:before SSL initialization
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: SSL3 alert write:fatal:protocol version
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: SSL_accept:error in error
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: SSL_accept error from ny-smtp-dmz02.dmz.priceline.com[64.6.20.6]: -1
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: warning: TLS library problem: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol:../ssl/statem/statem_srvr.c:1660:
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: lost connection after STARTTLS from ny-smtp-dmz02.dmz.priceline.com[64.6.20.6]
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: disconnect from ny-smtp-dmz02.dmz.priceline.com[64.6.20.6] ehlo=1 starttls=0/1 commands=1/2

为了完整起见,这里有一个正确显示的内容:

Mar  8 00:45:01 froxlor postfix/smtpd[67806]: connect from a27-96.smtp-out.us-west-2.amazonses.com[54.240.27.96]
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: setting up TLS connection from a27-96.smtp-out.us-west-2.amazonses.com[54.240.27.96]
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: a27-96.smtp-out.us-west-2.amazonses.com[54.240.27.96]: TLS cipher list "aNULL:-aNULL:HIGH:MEDIUM:LOW:EXPORT:+RC4:@STRENGTH"
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:before SSL initialization
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:before SSL initialization
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS read client hello
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS write server hello
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS write certificate
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS write key exchange
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS write server done
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS write server done
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS read client key exchange
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS read change cipher spec
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS read finished
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS write change cipher spec
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS write finished
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: Anonymous TLS connection established from a27-96.smtp-out.us-west-2.amazonses.com[54.240.27.96]: TLSv1.2 with cipher ECDHE-ECDSA-AES256-SHA384 (256/256 bits)
Mar  8 00:45:02 froxlor postfix/smtpd[67806]: A1B9E1C0096: client=a27-96.smtp-out.us-west-2.amazonses.com[54.240.27.96]
Mar  8 00:45:02 froxlor postfix/cleanup[67821]: A1B9E1C0096: message-id=<01010170b951a112-269a702a-ede4-4556-849b-e61b7f433063-000000@us-west-2.amazonses.com>
Mar  8 00:45:03 froxlor postfix/qmgr[67485]: A1B9E1C0096: from=<[email protected]>, size=81292, nrcpt=1 (queue active)
Mar  8 00:45:04 froxlor postfix/pipe[67823]: A1B9E1C0096: to=<[email protected]>, relay=dovecot, delay=2.6, delays=2.1/0.01/0/0.47, dsn=2.0.0, status=sent (delivered via dovecot service)

我从 /etc/postfix/main.cf 中的默认 TLS 设置开始,然后尝试设置 smtpd_tls_ciphers = export(以及低、中、高)并启用/禁用 SSLv2、SSLv3、TLSv1、TLSv1.1、TLSv1.2、TLSv1.3 以及 tls_ssl_options = NO_COMPRESSION 和一堆其他启用和禁用选项,不幸的是我现在不记得具体是什么了。

我正在使用通过 Froxlor 安装和配置的工具生成的 LetsEncrypt 证书,并且没有弄乱任何设置。

测试有点麻烦,因为他们每半小时左右才重试一次,但(我认为)我已经将范围缩小到 SSLv3 或 TLSv1,因为如果我禁用它们,错误将从“无共享密码”更改为“不支持的协议”。即使将 TLS 日志记录设置为 10,我也没有找到查看他们尝试使用的协议的方法。

我最近做的事情是使用 enable-weak-ssl-ciphers 从源代码构建 libssl1.1,认为也许默认情况下这些发送者使用的密码不在默认包中。

我可能忽略了一些东西,但我的搜索毫无结果,我的头发也快掉光了。如果有人能给我一点线索,我将不胜感激。如果我遗漏了任何信息,我很乐意提供。提前感谢大家花时间阅读这篇文章!

答案1

我已经设法使用

smtpd_discard_ehlo_keyword_address_maps = hash:/etc/postfix/smtpd_discard_ehlo_keywords

/etc/postfix/smtpd_discard_ehlo_keywords(文件名不重要)包含:

<broken-server-ip1> starttls
<broken-server-ip2> starttls

我仍然很好奇这些服务器使用的是哪种 TLSv1 密码,但现在我可以针对这些情况关闭每个主机的 TLS,我很满意。将此信息留在这里,供其他需要的人参考。

相关内容