Re: [Exim-users] Проблема с TLS

Tue, 12 Nov 2013 04:19:58 -0800 

> Появилась проблема с доставкой писем серверам с Mdaemon разных версий.
> Система 8.4-RELEASE-p4, exim - exim-4.80.1_2, openssl-1.0.1_8.
> Exim собран с поддержкой TLS (правда он был изначально версии  4.63,
> portupgarde-ом обновлялся). При достаки проблемным серверам, ошибка одной
> строкой:
> Remote host XXXXXX [XXXX] closed connection in response to EHLO XXXXXXX
> 
> В лог Mdaemon, обрывается соединение после строчки STARTTLS.

В архиве /usr/ports/distfiles/exim/exim-4.80.1.tar.bz2
файл exim-4.80.1/README.UPDATING , в нем:

   COMPATIBILITY WARNING: The default value of "openssl_options" is no longer
   "+dont_insert_empty_fragments".  We default to "+no_sslv2".
   That old default was grandfathered in from before openssl_options became a
   configuration option.
   Empty fragments are inserted by default through TLS1.0, to partially defend
   against certain attacks; TLS1.1+ change the protocol so that this is not
   needed.  The DIEF SSL option was required for some old releases of mail
   clients which did not gracefully handle the empty fragments, and was
   initially set in Exim release 4.31 (see ChangeLog, item 37).

   If you still have affected mail-clients, and you see SSL protocol failures
   with this release of Exim, set:
     openssl_options = +dont_insert_empty_fragments
   in the main section of your Exim configuration file.  You're trading off
   security for compatibility.  Exim is now defaulting to higher security and
   rewarding more modern clients.

Попробуйте:

openssl_options = +dont_insert_empty_fragments

Вот еще что писал разработчик Exim:

Next, a value of +all might help, which turns on all bug compatibility
fixes (with the combined security costs of all of them together).

The +tls_rollback_bug setting looks like it *might* apply here.

If +legacy_server_connect fixes it, then we're doing something wrong
with options setting, since OpenSSL should have that on by default and
we'd be clearing it inadvertently.

Ну и отлаживать нужно, диагностику включить: запустить передачу
тестового письма проблемному серверу-получателю, дав команду exim
с опцией d и перенаправив stdin с файла с письмом. Кажется, вот тут есть
пример отладки:
https://lists.exim.org/lurker/thread/20131110.124110.fba444f0.en.html

Еще попробуйте соединиться с проблемным сервером-получателем командой

openssl s_client -starttls smtp -connect 1.2.3.4:25

_______________________________________________
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Ответить