Postfix: bloquer usage de TLS pour un serveur distant

Postfix: bloquer usage de TLS pour un serveur distant - Logiciels - Linux et OS Alternatifs

Marsh Posté le 17-02-2012 à 15:39:25    

Bonjour,  
 
Nous utilisons postfix sur une Debian Squeeze sur lequel nous avons implémenté le TLS/SSL et nous rencontrons un problème.  
 
L'un de nos partenaires commerciaux a changé récemment son serveur mail et depuis, il ne parvient plus à nous envoyer de message.  
 
Nous avons décelé un problème au niveau de la version de TLS configuré sur son serveur.  
 
Nous sommes dans l'impasse, le partenaire n'est pas du tout technicien (il sait tout juste cliquer sur envoyer dans son client mail), il n'a pas de service informatique interne et passe par un prestataire de service qui réfute tout problème sur son serveur.  
 
Notre serveur mail brasse plusieurs milliers de mails par jour sans autre problème de ce type. Grâce à nos journaux, nous pouvons prouver que c'est depuis qu'il passe en TLS qu'il ne peut plus nous envoyer de message, mais nous nous heurtons à un mur.  
 
Existe-t-il une directive dans postfix qui ferait que lorsque son serveur se connecte sur le nôtre, il ne déclare pas la possibilité d'utiliser le TLS?  
 
Nous avons regardé au niveau des directives smtpd_cleint_restrictions.
 
Nous cherchons encore.  
 
merci d'avance pour vos lumières.

Reply

Marsh Posté le 17-02-2012 à 15:39:25   

Reply

Marsh Posté le 18-02-2012 à 00:32:34    

Vous voyez quoi dans les logs ?
 
Vous êtes sûr qu'il utilise le port 25 et pas 465 ? Il se peut aussi qu'il y ait un problème de certificat de son côté.
 


---------------
"Your god is too small", Giordano Bruno, 1548 - 1600
Reply

Marsh Posté le 20-02-2012 à 09:08:05    

Bonjour,
 
Mes entrées dans les journaux
 

Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: initializing the server-side TLS engine
Feb 17 14:15:38 nxxxxx postfix/smtpd[29220]: warning: 91.183.XXX.XXX: hostname XXX.XXX.XXX.XXX.adsl-static.isp.belgacom.be verification failed: Name or service not known
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: connect from unknown[91.183.xxx.xxx]
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: setting up TLS connection from unknown[91.183.xxx.xxx]
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: unknown[91.183.xxx.xxx]: TLS cipher list "ALL:!EXPORT:!LOW:+RC4:@STRENGTH"
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:before/accept initialization
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: unknown[91.183.xxx.xxx]: looking up session 45B76FC4858D2D69BACF1F79D574019A635BD3F9C94F18D3812E4EBF9CA35A91&s=smtps in smtpd cache
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 read client hello B
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 write server hello A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 write certificate A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 write server done A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 flush data
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 read client key exchange A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 read finished A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 write change cipher spec A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 write finished A
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: SSL_accept:SSLv3 flush data
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: unknown[91.183.xxx.xxx]: save session 12A03C92C056EB5C25F3B03EEAFE8D1BD9C957B6FE8F94B13DED4F6CBCA76677&s=smtps to smtpd cache
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: Anonymous TLS connection established from unknown[91.183.xxx.xxx]: SSLv3 with cipher RC4-MD5 (128/128 bits)
Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: NOQUEUE: reject: RCPT from unknown[91.183.xxx.xxx]: 554 5.7.1 <destinataire@mondomaine>: Recipient address rejected: Access denied; from=<expéditeur@sondomaine> to=<destinataire@mondomaine> proto=ESMTP helo=<sonserveurmail@sondomaine.com>
Feb 17 14:15:39 nxxxx postfix/smtpd[29220]: disconnect from unknown[91.183.xxx.xxx]


Reply

Marsh Posté le 20-02-2012 à 09:40:12    

Nous pensons avoir une piste.  
 
Sur cette ligne, nous constatons que notre correspondant utilise SSLv3
 

Feb 17 14:15:38 nxxxx postfix/smtpd[29220]: Anonymous TLS connection established from unknown[91.183.xxx.xxx]: SSLv3 with cipher RC4-MD5 (128/128 bits)  
 


 
Alors qu'auparavant, elle utilisait TLSv1
 
Nous allons faire un test en forçant l'usage de TLSv1 et nous verrons le résultat.

Reply

Marsh Posté le 20-02-2012 à 10:46:32    

Je confirme qu'en ajoutant la directive  


-o smtpd_tls_mandatory_protocols=TLSv1,!SSLv2,!SSLv3


Dans mon fichier de configuration, je reçois ses mails. J'ai un beau message d'erreur dans mon journal concernant sa version de SSLv3, mais ça passe.
(s3_srvr.c:786)  
Je laisse comme ça pour l'instant, mais je lui ai fait suivre l'info pour que nos autres partenaires qui utilisent le SSLv3 sans problème puissent continuer à l'utiliser.


Message édité par Hanka le 20-02-2012 à 10:51:40
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed