Re: Postfix Dovecot et SSL : SSL23: unknown protocol
Bonsoir J'en suis à la configuration du TLS sur SMTP Voilà la configuration que j'ai pour le moment, et qui n'autorise que TLS 1.2 La configuration é été vérifiée successivement avec le site suivant htt ps://ssl-tools.net/mailservers Il considère une configuration fiable si TLS 1.0 ou 1.1 sont permis, mais je compte bien les bannir, sauf si quelque chose m'oblige à revenir en arrière. C'est un extrait de mon /etc/postfix/main.cf ; smtpd_tls_security_level = encryptsmtpd_tls_received_header = nosmtpd_tls_auth_only = yessmtpd_tls_loglevel = 1smtpd_tls_cert_file = /path/to/cert.pemsmtpd_tls_key_file = /path/to/priv.keysmtpd_use_tls = yessmtp_tls_note_starttls_offer = yessmtpd_tls_session_cache_timeout = 3600ssmtpd_tls_exclude_ciphers = aNULL, MD5, DES, 3DES, DES-CBC3-SHA, RC4-SHA, AES256-SHA, AES128-SHAtls_high_cipherlist = ECDH+aRSA+AES256:ECDH+aRSA+AES128:AES256-SHA:DES-CBC3- SHAsmtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1smtpd_tls_mandatory_protocols = TLSv1.2 Le vendredi 14 avril 2017 à 22:32 +0200, andre_deb...@numericable.fr a écrit : > On Tuesday 04 April 2017 10:43:15 Thierry Bugier Pineau wrote: > > le sujet a achevé de me motiver pour m'y remettre aussi. D'où mon > > silence. J'ai préparé postfix, je continue avec Dovecot dans les > jours > > à venir et ensuite je m'attaque au TLS pour atteindre le même > niveau de > > progression et donner un coup de main. > > J'essaie aussi de créer un script shell (très sommaire) pour rendre > la > > configuration maintenable et reproductible (que je partagerai > > volontiers sur github). > > On Tuesday 04 April 2017 14:12:45 andre_deb...@numericable.fr wrote: > > Je l'attends avec plaisir, merci d'avance. > > Ça fait longtemps que dovecot + certificats me posent soucis... :-) > > Bonne journée, André > > Je n'ai pas reçu de réponse à cette promesse ci-dessus... :-) > > André > >
Re: Postfix Dovecot et SSL : SSL23: unknown protocol
J'y pense ; il faut juste que je me dégage un peu de temps. Je ne n ai pas vraiment eu pour l'instant. En passant j'ai trouvé sur le wiki de Dovecot un script shell qui permet d'éditer sa configuration via la ligne de commande ou un autre script. C'est partiellement expérimental. On n'a pas d'équivalent à postconf ? Cet outil facilite énormément le travail d'automatisation. Le 14 avril 2017 22:32:21 GMT+02:00, andre_deb...@numericable.fr a écrit : >On Tuesday 04 April 2017 10:43:15 Thierry Bugier Pineau wrote: >> le sujet a achevé de me motiver pour m'y remettre aussi. D'où mon >> silence. J'ai préparé postfix, je continue avec Dovecot dans les >jours >> à venir et ensuite je m'attaque au TLS pour atteindre le même niveau >de >> progression et donner un coup de main. >> J'essaie aussi de créer un script shell (très sommaire) pour rendre >la >> configuration maintenable et reproductible (que je partagerai >> volontiers sur github). > >On Tuesday 04 April 2017 14:12:45 andre_deb...@numericable.fr wrote: >> Je l'attends avec plaisir, merci d'avance. >> Ça fait longtemps que dovecot + certificats me posent soucis... :-) >> Bonne journée, André > >Je n'ai pas reçu de réponse à cette promesse ci-dessus... :-) > >André -- Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté.
Re: Postfix Dovecot et SSL : SSL23: unknown protocol
On Tuesday 04 April 2017 10:43:15 Thierry Bugier Pineau wrote: > le sujet a achevé de me motiver pour m'y remettre aussi. D'où mon > silence. J'ai préparé postfix, je continue avec Dovecot dans les jours > à venir et ensuite je m'attaque au TLS pour atteindre le même niveau de > progression et donner un coup de main. > J'essaie aussi de créer un script shell (très sommaire) pour rendre la > configuration maintenable et reproductible (que je partagerai > volontiers sur github). On Tuesday 04 April 2017 14:12:45 andre_deb...@numericable.fr wrote: > Je l'attends avec plaisir, merci d'avance. > Ça fait longtemps que dovecot + certificats me posent soucis... :-) > Bonne journée, André Je n'ai pas reçu de réponse à cette promesse ci-dessus... :-) André
Re: Postfix Dovecot et SSL : SSL23: unknown protocol
On Tuesday 04 April 2017 10:43:15 Thierry Bugier Pineau wrote: > le sujet a achevé de me motiver pour m'y remettre aussi. D'où mon > silence. J'ai préparé postfix, je continue avec Dovecot dans les jours > à venir et ensuite je m'attaque au TLS pour atteindre le même niveau de > progression et donner un coup de main. > J'essaie aussi de créer un script shell (très sommaire) pour rendre la > configuration maintenable et reproductible (que je partagerai > volontiers sur github). Je l'attends avec plaisir, merci d'avance. Ça fait longtemps que dovecot + certificats me posent soucis... :-) Bonne journée, André > Le mardi 04 avril 2017 à 10:24 +0200, andre_debian a écrit : > > J'avais déclaré le sujet "résolu" un peu vite, désolé. > > Ça ne fonctionne pas avec "imap", > > voici ce que Kmail me répond (port 143 ou 993) : > > = > > "impossible de se connecter à « imap.mon_domaine » > > Le serveur n'a pas répondu correctement : > > * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE > > IDLE > > STARTTLS AUTH=PLAIN] Dovecot ready" > > = > > Avec le port 110, ça fonctionne mais je dois confirmer le certificat. > > André
Re: Postfix Dovecot et SSL : SSL23: unknown protocol
Bonjour le sujet a achevé de me motiver pour m'y remettre aussi. D'où mon silence. J'ai préparé postfix, je continue avec Dovecot dans les jours à venir et ensuite je m'attaque au TLS pour atteindre le même niveau de progression et donner un coup de main. J'essaie aussi de créer un script shell (très sommaire) pour rendre la configuration maintenable et reproductible (que je partagerai volontiers sur github). Le mardi 04 avril 2017 à 10:24 +0200, andre_deb...@numericable.fr a écrit : > J'avais déclaré le sujet "résolu" un peu vite, désolé. > Ça ne fonctionne pas avec "imap", > > voici ce que Kmail me répond (port 143 ou 993) : > = > "impossible de se connecter à « imap.mon_domaine » > Le serveur n'a pas répondu correctement : > * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE > IDLE > STARTTLS AUTH=PLAIN] Dovecot ready" > = > > Avec le port 110, ça fonctionne mais je dois confirmer le certificat. > > Bonne journée, > > André > >
Re: Postfix Dovecot et SSL : SSL23: unknown protocol
J'avais déclaré le sujet "résolu" un peu vite, désolé. Ça ne fonctionne pas avec "imap", voici ce que Kmail me répond (port 143 ou 993) : = "impossible de se connecter à « imap.mon_domaine » Le serveur n'a pas répondu correctement : * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLAIN] Dovecot ready" = Avec le port 110, ça fonctionne mais je dois confirmer le certificat. Bonne journée, André
Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
On Friday 31 March 2017 22:11:31 Thierry Bugier Pineau wrote: > Voilà ce que j'ai pour mon serveur web dans la cipher suite > ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA- > CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM- > SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA- > AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256 Merci. Dans le serveur Web, mais mon souci est dans Postfix-Dovecot-SSL/TLS. > Ca ne liste que des méthodes de chiffrement, le protocole est dans un > paramétrage à part, contrairement à ce que j'avais dans mon souvenir. > En cherchant activement il semble que !SSLv3 !TLSv1.0 et !TLSv1.1 > auraient mieux leur place dans ssl_protocols (qui devrait être sur la > ligne précédant ssl_cipher_list) ssl_protocols = ... dans le fichier "dovecot.conf" ? Si oui, cette ligne n'a pas été créée lors de l'installation de dovecot. > je pense que vous pouvez essayer d'ajouter !SSLv3 puis !TLSv1.0 et > !TLSv1.1 successivement en testant à chaque fois, et voir si des > problèmes apparaissent. Du moment que vous gardez une configuration qui > fonctionne au chaud, il n'y a pas de risque particulier. Ou et comment ajouter "!SSLv3 puis !TLSv1.0 !TLSv1.1" ? > En réponse à votre dernier message : > - Je remets le lien vers la page wikipédia : l'accent a été altéréhttps > ://fr.wikipedia.org/wiki/Confidentialité_persistante Ok, ça fonctionne, page instructive. > - un exemple de connection client avec openssl en forçant tls1 (testé > sur imap.gmail.com)openssl s_client -connect imap.server.com:993 -tls1 > Je suis sous Debian Sid, et -ssl2 et -ssl3 ne sont apparemment plus > reconnus (bien qu'encore présents dans la documentation). Bonne journée, André
Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
Voilà ce que j'ai pour mon serveur web dans la cipher suite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA- CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM- SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA- AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256 Ca ne liste que des méthodes de chiffrement, le protocole est dans un paramétrage à part, contrairement à ce que j'avais dans mon souvenir. En cherchant activement il semble que !SSLv3 !TLSv1.0 et !TLSv1.1 auraient mieux leur place dans ssl_protocols (qui devrait être sur la ligne précédant ssl_cipher_list) je pense que vous pouvez essayer d'ajouter !SSLv3 puis !TLSv1.0 et !TLSv1.1 successivement en testant à chaque fois, et voir si des problèmes apparaissent. Du moment que vous gardez une configuration qui fonctionne au chaud, il n'y a pas de risque particulier. En réponse à votre dernier mesage : - Je remets le lien vers la page wikipédia : l'accent a été altéréhttps ://fr.wikipedia.org/wiki/Confidentialité_persistante - un exemple de connection client avec openssl en forçant tls1 (testé sur imap.gmail.com)openssl s_client -connect imap.server.com:993 -tls1 Je suis sous Debian Sid, et -ssl2 et -ssl3 ne sont apparemment plus reconnus (bien qu'encore présents dans la documentation). Le vendredi 31 mars 2017 à 19:00 +0200, andre_deb...@numericable.fr a écrit : > On Friday 31 March 2017 14:22:31 Thierry Bugier Pineau wrote: > > Ce serait intéressant de savoir ce que contenant la liste > > ssl_cipher_list avant modification, et ce qu'elle contient > maintenant. > > Avant : > ssl_cipher_list = > ALL:!LOW:!SSLv2:!SSLv3:ALL:!aNULL:!ADH:!eNULL:!EXP:RC4+RSA: > +HIGH:+MEDIUM > > Maintenant : > ssl_cipher_list = TLSv1+HIGH !SSLv2 !RC4 !aNULL !eNULL !3DES > @STRENGTH > > > Je vous invite à utiliser un outil de test SSL / TLS en ligne : > > SSL/TLS est bien activé et l'outil de test est positif, > openssl, testssl etc... > > > pour affiner la configuration maintenant, car il y a un paquet > > de choses à faire pour avoir un chiffrement pas trop fragile. > > "Affiner et un paquet de choses à faire" : > que peut-on faire ? Là je suis dépassé... > > André > > >
Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
On Friday 31 March 2017 20:07:37 Thierry Bugier Pineau wrote: > De ce que je vois la nouvelle liste n'exclut pas explicitement SSLv3, > TLSv1.0 et TLSv1.1. Ces trois méthodes de chiffrement sont désormais > vulnérables. > Je pense que vous devez inventorier les clients mail qui seront > utilisés et rechercher pour chacun si ils supportent TLSv1.2. Si c'est > le cas (ce qui est très probable) alors il faut a jouter !SSLv3, > !TLSv1.0 et !TLSv1.1 . Je devine que vous avez pris votre liste quelque > part sur une vieille source non maintenue (elles pulullent et ce mail > sera obsolète dans quelques mois ou années). > En gros, SSL est complètement obsolète et seul TLSv1.2+ reste encore > valable (de ce que je sais à ce jour). > Pour tester si SSLv2, v2 et TLS v1.0, 1.1 sont permis, réutilisez la > commande openssl s_client que j'ai donnée il y a quelques jours et > ajoutez un argument qui force l'usage d'une méthode de chiffrement. > Essayez successivement les arguments suivants: > -ssl2-ssl3-tls1-tls1_1-tls1_2 : Ou place t-on ces arguments ? > (https://www.openssl.org/docs/man1.0.1/apps/s_client.html) > Une bonne configuration fera en sorte que seul -tls1_2 aboutira à une > connection réussie. Les autres doivent échouer. > Après il y a le perfect forward secrecy à vérifier, je n'ai pas encore > la connaissance suffisante à ce sujet mais c'est encore uen question de > réglage sur le SSL/TLS. (introduction ici : > https://fr.wikipedia.org/wiki/Confidentialit%C3%A9_persistante : Erreur 404... > Peut être que la cipher suite préférée pour mon serveur web sera > intéressante; je la partage tout à l'heure : Oui, je veux bien. @+ André
Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
Bonsoir De ce que je vois la nouvelle liste n'exclut pas explicitement SSLv3, TLSv1.0 et TLSv1.1. Ces trois méthodes de chiffrement sont désormais vulnérables. Je pense que vous devez inventorier les clients mail qui seront utilisés et rechercher pour chacun si ils supportent TLSv1.2. Si c'est le cas (ce qui est très probable) alors il faut a jouter !SSLv3, !TLSv1.0 et !TLSv1.1 . Je devine que vous avez pris votre liste quelque part sur une vieille source non maintenue (elles pulullent et ce mail sera obsolète dans quelques mois ou années). En gros, SSL est complètement obsolète et seul TLSv1.2+ reste encore valable (de ce que je sais à ce jour). Pour tester si SSLv2, v2 et TLS v1.0, 1.1 sont permis, réutilisez la commande openssl s_client que j'ai donnée il y a quelques jours et ajoutez un argument qui force l'usage d'une méthode de chiffrement. Essayez successivement les arguments suivants: -ssl2-ssl3-tls1-tls1_1-tls1_2 (plus de détail ici https://www.openssl.org/docs/man1.0.1/apps/s_client .html) Une bonne configuration fera en sorte que seul -tls1_2 aboutira à une connection réussie. Les autres doivent échouer. Après il y a le perfect forward secrecy à vérifier, je n'ai pas encore la connaissance suffisante à ce sujet mais c'est encore uen question de réglage sur le SSL/TLS. (introduction ici https://fr.wikipedia.org/wiki /Confidentialit%C3%A9_persistante) Peut être que la cipher suite préférée pour mon serveur web sera intéressante; je la partage tout à l'heure. Le vendredi 31 mars 2017 à 19:00 +0200, andre_deb...@numericable.fr a écrit : > On Friday 31 March 2017 14:22:31 Thierry Bugier Pineau wrote: > > Ce serait intéressant de savoir ce que contenant la liste > > ssl_cipher_list avant modification, et ce qu'elle contient > maintenant. > > Avant : > ssl_cipher_list = > ALL:!LOW:!SSLv2:!SSLv3:ALL:!aNULL:!ADH:!eNULL:!EXP:RC4+RSA: > +HIGH:+MEDIUM > > Maintenant : > ssl_cipher_list = TLSv1+HIGH !SSLv2 !RC4 !aNULL !eNULL !3DES > @STRENGTH > > > Je vous invite à utiliser un outil de test SSL / TLS en ligne : > > SSL/TLS est bien activé et l'outil de test est positif, > openssl, testssl etc... > > > pour affiner la configuration maintenant, car il y a un paquet > > de choses à faire pour avoir un chiffrement pas trop fragile. > > "Affiner et un paquet de choses à faire" : > que peut-on faire ? Là je suis dépassé... > > André > > >
Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
On Friday 31 March 2017 14:22:31 Thierry Bugier Pineau wrote: > Ce serait intéressant de savoir ce que contenant la liste > ssl_cipher_list avant modification, et ce qu'elle contient maintenant. Avant : ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:ALL:!aNULL:!ADH:!eNULL:!EXP:RC4+RSA: +HIGH:+MEDIUM Maintenant : ssl_cipher_list = TLSv1+HIGH !SSLv2 !RC4 !aNULL !eNULL !3DES @STRENGTH > Je vous invite à utiliser un outil de test SSL / TLS en ligne : SSL/TLS est bien activé et l'outil de test est positif, openssl, testssl etc... > pour affiner la configuration maintenant, car il y a un paquet > de choses à faire pour avoir un chiffrement pas trop fragile. "Affiner et un paquet de choses à faire" : que peut-on faire ? Là je suis dépassé... André
Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
Bonjour Ce serait intéressant de savoir ce que contenant la lishe ssl_cipher_list avant modification, et ce qu'elle contient maintenant. A propos de /etc/hosts, il est clair que c'était pas le souci, mais dans les essais fait il y a quelques jours, le serveur ne pouvait pas résoudre son propre nom. Modifier /etc/hosts résout ce petit détail. Je vous invite à utilsier un outil de test SSL / TLS en ligne pour affiner la configuration maintenant, car il y a un paquet de choses à faire pour avoir un chiffrement pas trop fragile. Le vendredi 31 mars 2017 à 12:20 +0200, andre_deb...@numericable.fr a écrit : > On Thursday 30 March 2017 16:00:40 andre_deb...@numericable.fr wrote: > > ça semble remarcher. > > > # tail /var/log/mail.err > > n'affiche plus d'erreur : "SSL23: unknown protocol", > > mais toujours l'erreur : > > "pop3-login : Error : ssl3_get_client_hello : no shared cipher" > > Je n'ai plus de message d'erreur dans : > /var/log/mail.err, ni /var/log/mail.log > > Le problème venait de "cipher", > /etc/dovecot/conf.d/10-ssl.conf" => ligne "ssl_cipher_list = " > à adapter. > > Bonne journée à tous, > > André > >
Re: Postfix Dovecot et SSL : SSL23: unknown protocol : RÉSOLU
On Thursday 30 March 2017 16:00:40 andre_deb...@numericable.fr wrote: > ça semble remarcher. > # tail /var/log/mail.err > n'affiche plus d'erreur : "SSL23: unknown protocol", > mais toujours l'erreur : > "pop3-login : Error : ssl3_get_client_hello : no shared cipher" Je n'ai plus de message d'erreur dans : /var/log/mail.err, ni /var/log/mail.log Le problème venait de "cipher", /etc/dovecot/conf.d/10-ssl.conf" => ligne "ssl_cipher_list = " à adapter. Bonne journée à tous, André
Re: Postfix Dovecot et SSL : SSL23: unknown protocol
On Tuesday 28 March 2017 13:57:29 Thierry Bugier Pineau wrote: > Dans mes diverses notes j'ai retenu ceci pour /etc/hosts > 127.0.0.1 localhost127.0.1.1 nom-serveur.domaine > domaine pop.domaine smtp.domaine : Je pense pas que ces lignes de "/etc/hosts" soient la cause du problème :-) > Pour ces erreurs je n'ai pas encore pu fouiller mes notes; mais un coup > d'oeil sur google m'a montré que ce n'est pas spécifique à dovecot, > donc il y a potentiellement un réel souci sur le SSL ou bien sur > l'utilisation de SSL par Dovecot : En modifiant la ligne "/etc/dovecot/conf.d/10-ssl.conf" : ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:ALL:!aNULL:!ADH:!eNULL:!EXP:RC4+RSA: +HIGH:+MEDIUM ça semble remarcher. La détection auto de Kmail me met : TLS, port 110, méthode d'identification PLAIN, OK En mettant le port 995 à la mano = OK aussi. # tail /var/log/mail.err n'affiche plus d'erreur : "SSL23: unknown protocol", mais toujours l'erreur : "pop3-login : Error : ssl3_get_client_hello : no shared cipher" Bonne journée, André
Re: Postfix Dovecot et SSL : SSL23: unknown protocol
Le mardi 28 mars 2017 à 11:02 +0200, andre_deb...@numericable.fr a écrit : > On Monday 27 March 2017 09:05:21 Thierry Bugier Pineau wrote: > > Apparemment 2 essais sur 3 sont bons, et celui qui échoue doit > venir du > > fait que la résolution DNS sur le serveur n'est pas configurée pour > > résoudre son propre nom. Au plus simple, il faudrait mettre à jour > > /etc/hosts. C'est quand même mieux que le serveur sache comment il > > s'appelle : > > Le fichier "/etc/hosts" sur le serveur : > nom-serveur.domaine domaine pop.domaine smtp.domaine > C'est bon ? Dans mes diverses notes j'ai retenu ceci pour /etc/hosts 127.0.0.1 localhost127.0.1.1 nom-serveur.domaine domaine pop.domaine smtp.domaine D'ailleurs si quelqu'un sait m'expliquer pourquoi attribuer les noms "personnalisés" sur 127.0.1.1 au lieu de 127.0.0.1, je suis preneur. J'ai remarqué que si on ne remplit pas le fichier correctement la commande hostname peut s'en trouver perturbée. Je conseille donc de vérifier après le changement que hostname -d, hostname -s et hostname -f donnent un résultat cohérent, sans lenteur. > > Dans les cas où la connection réussit, il faudrait vérifier qu'un > > chiffrement est bien mis en place. La seule ligne "+OK Dovecot > ready" > > ne l'indique pas mais il doit y avoir une bonne quantité d'infos > avant > > elle; notamment au début : > > Oui, avant "+OK Dovecot ready" il y a des tas d'infos sur le > certificat, > sans message d'erreur. > > > A propos de l'erreur dans /var/log/mail.err, je chercherai tout à > > l'heure dans mes notes si j'ai des infos à ce sujet : > > Elles sont toujours d'actualité, je les rappelle : > > dovecot: pop3-login: Error: SSL: Stacked error: error:140760FC:SSL > routines:SSL23_GET_CLIENT_HELLO:unknown protocol > > dovecot: pop3-login: Error: SSL: Stacked error: error:1408A0C1:SSL > routines:ssl3_get_client_hello:no shared cipher Pour ces erreurs je n'ai pas encore pu fouiller mes notes; mais un coup d'oeil sur google m'a montré que ce n'est pas spécifique à dovecot, donc il y a potentiellement un réel souci sur le SSL ou bien sur l'utilisation de SSL par Dovecot. > Merci, > > André > >
Re: Postfix Dovecot et SSL : SSL23: unknown protocol
On Monday 27 March 2017 09:05:21 Thierry Bugier Pineau wrote: > Apparemment 2 essais sur 3 sont bons, et celui qui échoue doit venir du > fait que la résolution DNS sur le serveur n'est pas configurée pour > résoudre son propre nom. Au plus simple, il faudrait mettre à jour > /etc/hosts. C'est quand même mieux que le serveur sache comment il > s'appelle : Le fichier "/etc/hosts" sur le serveur : nom-serveur.domaine domaine pop.domaine smtp.domaine C'est bon ? > Dans les cas où la connection réussit, il faudrait vérifier qu'un > chiffrement est bien mis en place. La seule ligne "+OK Dovecot ready" > ne l'indique pas mais il doit y avoir une bonne quantité d'infos avant > elle; notamment au début : Oui, avant "+OK Dovecot ready" il y a des tas d'infos sur le certificat, sans message d'erreur. > A propos de l'erreur dans /var/log/mail.err, je chercherai tout à > l'heure dans mes notes si j'ai des infos à ce sujet : Elles sont toujours d'actualité, je les rappelle : dovecot: pop3-login: Error: SSL: Stacked error: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol dovecot: pop3-login: Error: SSL: Stacked error: error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher Merci, André
Re: Postfix Dovecot et SSL : SSL23: unknown protocol
Bonjour Apparemment 2 essais sur 3 sont bons, et celui qui échoue doit venir du fait que la résolution DNS sur le serveur n'est pas configurée pour résoudre son propre nom. Au plus simple, il faudrait mettre à jour /etc/hosts. C'est quand même mieux que le serveur sache comment il s'appelle. Dans les cas où la connection réussit, il faudrait vérifier qu'un chiffrement est bien mis en place. La seule ligne "+OK Dovecot ready" ne l'indique pas mais il doit y avoir une bonne quantité d'infos avant elle; notamment au début. A propos de l'erreur dans /var/log/mail.err, je chercherai tout à l'heure dans mes notes si j'ai des infos à ce sujet. Le dimanche 26 mars 2017 à 23:23 +0200, andre_deb...@numericable.fr a écrit : > On Sunday 26 March 2017 22:27:06 you wrote: > > J'ai fait un test avec le serveur SMTP de gmail : > > openssl s_client -connect smtp.gmail.com:995 -debug > > et ça a fonctionné. Il y aura une quantité importante > d'informations : > > Depuis mon serveur : > openssl s_client -connect localhost:995 -debug : > les d'infos... > +OK Dovecot ready. > > openssl s_client -connect :995 -debug : > aucune réponse... ou > gethostbyname failure > connect:errno=0 > > Depuis un poste client : > openssl s_client -connect :995 -debug : > les d'infos... > +OK Dovecot ready. > > tail /var/log/mail.err : > ssl3_get_client_hello:no shared cipher > SSL23_GET_CLIENT_HELLO:unknown protocol > > Voilà le topo, > > bonne fin de soirée, > > André > > > > > Le 26 mars 2017 19:45:28 GMT+02:00, andré a écrit : > > > > >J'ai un serveur postfix + dovecot + ssl. > > > > >Il marche parfaitement avec le port POP 110, > > > > >mais pas du tout en mode SSL port 995. > > > > >Voici ce que me dit "tail /var/log/mail.err" : > > > > >dovecot: pop3-login: Error: SSL: Stacked error: > > > error:140760FC:SSL > > > > >routines:SSL23_GET_CLIENT_HELLO:unknown protocol > > > > >Mes certifs crt et key semblent bons. > > > > >J'en ai créés d'autres mais idem. > > > > >J'ai fouillé via Google, ce message m'apporte des centaines > > > > >de liens mais aucun ne m'aide. > > > > >Merci d'une piste... André > > >
Re: Postfix Dovecot et SSL : SSL23: unknown protocol
On Sunday 26 March 2017 22:27:06 you wrote: > J'ai fait un test avec le serveur SMTP de gmail : > openssl s_client -connect smtp.gmail.com:995 -debug > et ça a fonctionné. Il y aura une quantité importante d'informations : Depuis mon serveur : openssl s_client -connect localhost:995 -debug : les d'infos... +OK Dovecot ready. openssl s_client -connect :995 -debug : aucune réponse... ou gethostbyname failure connect:errno=0 Depuis un poste client : openssl s_client -connect :995 -debug : les d'infos... +OK Dovecot ready. tail /var/log/mail.err : ssl3_get_client_hello:no shared cipher SSL23_GET_CLIENT_HELLO:unknown protocol Voilà le topo, bonne fin de soirée, André > > > Le 26 mars 2017 19:45:28 GMT+02:00, andré a écrit : > > > >J'ai un serveur postfix + dovecot + ssl. > > > >Il marche parfaitement avec le port POP 110, > > > >mais pas du tout en mode SSL port 995. > > > >Voici ce que me dit "tail /var/log/mail.err" : > > > >dovecot: pop3-login: Error: SSL: Stacked error: > > error:140760FC:SSL > > > >routines:SSL23_GET_CLIENT_HELLO:unknown protocol > > > >Mes certifs crt et key semblent bons. > > > >J'en ai créés d'autres mais idem. > > > >J'ai fouillé via Google, ce message m'apporte des centaines > > > >de liens mais aucun ne m'aide. > > > >Merci d'une piste... André
Re: Postfix Dovecot et SSL : SSL23: unknown protocol
J'ai fait un test avec le serveur SMTP de gmail : openssl s_client -connect smtp.gmail.com:995 -debug et ç a fonctionné. Il y aura une quantité importante d'informations, y compris des dumps d'échanges entre le serveur et le client; l'argument -debug est probablement exagéré pour l'instant. Ce qui est intéressant avec cette commande est qu'une fois la liaison chiffrée établie, vous aurez l'équivalent d'un telnet sur une liaison "en clair", vous permettant de tester manuellement votre serveur. En ce qui concerne la désactivation de SSLv3 TLSv1.0 et TLSv1.1, j'ai trouvé cecihttp://www.postfix.org/announcements/postfix-2.9.2.htmlhttps ://www.skyminds.net/serveur-dedie-configurer-postfix-et-courier-pour- utiliser-tls-ssl-en-perfect-forward-secrecy/ Attention : le second lien date de 2014 et ne déconseille pas TLS 1.0 et 1.1, il faut adapter les exemples. Je garde ces liens pour mes propres notes, car j'ai moi aussi dégrossi postfix + dovecot il y a quelques temps. J'ai encore mes notes de brouillon d'ailleurs, que je pourrais ressortir pour l'occasion :). La raison de cette restriction est d'empêcher un client un peu trop vieux de se connecter en négociant un protocole de chiffrement devenu vulnérable, par incapacité à utiliser un protocole encore fiable. Cela dit, c'est un peu hors du sujet. Je pense qu'il faut garder cela pour la touche finale du chiffrement. La openssl s_client aidera de nouveau, pour vérifier l'échec de connection avec des protocoles bannis. Le dimanche 26 mars 2017 à 20:38 +0200, andre_deb...@numericable.fr a écrit : > On Sunday 26 March 2017 19:58:05 Thierry Bugier Pineau wrote: > > Merci de me répondre. > > > Essayez de diagnostiquer avec openssl > > openssl s_client -connect serveur.org -debug : > > La commande me renvoie sur le help de openssl... > > > Plus de détail ici à propos de la commande; car il vous faudra peut > être > ajouter quelques arguments selon votre cas : > > https://wiki.openssl.org/index.php/Manual:S_client(1) : > > Pas trop d'infos pour la syntaxe de la commande proposée... :-) > > > En passant, veillez à bien interdire sslv3 et tls < 1.2 côté > serveur : > > Comment interdire sslv3 ? > Sinon, j'ai adopté TLS (STARTTLS) et idem, comment interdire tls < > 1.2 ? > > Merci, > > André > > > Le 26 mars 2017 19:45:28 GMT+02:00, andre_deb...@numericable.fr a > écrit : > > >J'ai un serveur postfix + dovecot + ssl. > > >Il marche parfaitement avec le port POP 110, > > >mais pas du tout en mode SSL port 995. > > >Voici ce que me dit "tail /var/log/mail.err" : > > >dovecot: pop3-login: Error: SSL: Stacked error: > error:140760FC:SSL > > >routines:SSL23_GET_CLIENT_HELLO:unknown protocol > > >Mes certifs crt et key semblent bons. > > >J'en ai créés d'autres mais idem. > > >J'ai fouillé via Google, ce message m'apporte des centaines > > >de liens mais aucun ne m'aide. > > >Merci d'une piste... André > > > >
Re: Postfix Dovecot et SSL : SSL23: unknown protocol
On Sunday 26 March 2017 19:58:05 Thierry Bugier Pineau wrote: Merci de me répondre. > Essayez de diagnostiquer avec openssl > openssl s_client -connect serveur.org -debug : La commande me renvoie sur le help de openssl... > Plus de détail ici à propos de la commande; car il vous faudra peut être ajouter quelques arguments selon votre cas : > https://wiki.openssl.org/index.php/Manual:S_client(1) : Pas trop d'infos pour la syntaxe de la commande proposée... :-) > En passant, veillez à bien interdire sslv3 et tls < 1.2 côté serveur : Comment interdire sslv3 ? Sinon, j'ai adopté TLS (STARTTLS) et idem, comment interdire tls < 1.2 ? Merci, André > Le 26 mars 2017 19:45:28 GMT+02:00, andre_deb...@numericable.fr a écrit : > >J'ai un serveur postfix + dovecot + ssl. > >Il marche parfaitement avec le port POP 110, > >mais pas du tout en mode SSL port 995. > >Voici ce que me dit "tail /var/log/mail.err" : > >dovecot: pop3-login: Error: SSL: Stacked error: error:140760FC:SSL > >routines:SSL23_GET_CLIENT_HELLO:unknown protocol > >Mes certifs crt et key semblent bons. > >J'en ai créés d'autres mais idem. > >J'ai fouillé via Google, ce message m'apporte des centaines > >de liens mais aucun ne m'aide. > >Merci d'une piste... André >
Re: Postfix Dovecot et SSL : SSL23: unknown protocol
Bonjour Essayez de diagnostiquer avec openssl openssl s_client -connect serveur.org -debug Plus de détail ici à propos de la commande; car il vous faudra peut être ajouter quelques arguments selon votre cas : https://wiki.openssl.org/index.php/Manual:S_client(1) En passant, veillez à bien interdire sslv3 et tls < 1.2 côté serveur. Le 26 mars 2017 19:45:28 GMT+02:00, andre_deb...@numericable.fr a écrit : >Encore moi, désolé :-) > >J'ai un serveur postfix + dovecot + ssl. > >Il marche parfaitement avec le port POP 110, >mais pas du tout en mode SSL port 995. > >Voici ce que me dit "tail /var/log/mail.err" : >dovecot: pop3-login: Error: SSL: Stacked error: error:140760FC:SSL >routines:SSL23_GET_CLIENT_HELLO:unknown protocol > >Mes certifs crt et key semblent bons. >J'en ai créés d'autres mais idem. > >J'ai fouillé via Google, ce message m'apporte des centaines >de liens mais aucun ne m'aide. > >Merci d'une piste... > >André -- Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté.
Postfix Dovecot et SSL : SSL23: unknown protocol
Encore moi, désolé :-) J'ai un serveur postfix + dovecot + ssl. Il marche parfaitement avec le port POP 110, mais pas du tout en mode SSL port 995. Voici ce que me dit "tail /var/log/mail.err" : dovecot: pop3-login: Error: SSL: Stacked error: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol Mes certifs crt et key semblent bons. J'en ai créés d'autres mais idem. J'ai fouillé via Google, ce message m'apporte des centaines de liens mais aucun ne m'aide. Merci d'une piste... André
