Deferred: 403 4.7.0 TLS handshake failed.

Le
BERTRAND Jo=c3=abl
Bonjour à tous,

J'utilise sendmail depuis très très très longtemps sur des systèmes
variés sans aucun problème. Depuis quelques jours, je me prends des
erreurs du type :

Deferred: 403 4.7.0 TLS handshake failed.

sur un nombre de domaines croissant. Je viens de patcher sauvagement le
sendmail de debian avec tls_failures.m4 issu de la prochain mouture de
sendmail pour tenter de corriger ce problème pénible.

J'obtiens cette erreur malgré des MX qui renvoient par exemple :

openssl s_client -starttls smtp -connect mxav.alciom.com:25
CONNECTED(00000003)
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA
Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA
Limited, CN = COMODO RSA Domain Validation Secure Server CA
verify return:1
depth=0 OU = Domain Control Validated, OU = Hosted by Dada S.p.A., OU =
COMODO SSL Wildcard, CN = *.securemail.pro
verify return:1

Certificate chain
0 s:/OU=Domain Control Validated/OU=Hosted by Dada S.p.A./OU=COMODO
SSL Wildcard/CN=*.securemail.pro
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA
Limited/CN=COMODO RSA Domain Validation Secure Server CA
1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA
Limited/CN=COMODO RSA Domain Validation Secure Server CA
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA
Limited/CN=COMODO RSA Certification Authority
2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA
Limited/CN=COMODO RSA Certification Authority
i:/C=SE/OdTrust AB/OUdTrust External TTP Network/CNdTrust
External CA Root
3 s:/C=SE/OdTrust AB/OUdTrust External TTP Network/CNdTrust
External CA Root
i:/C=SE/OdTrust AB/OUdTrust External TTP Network/CNdTrust
External CA Root

Server certificate
--BEGIN CERTIFICATE--

gnagnagna.
--END CERTIFICATE--
subject=/OU=Domain Control Validated/OU=Hosted by Dada S.p.A./OU=COMODO
SSL Wildcard/CN=*.securemail.pro
issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA
Limited/CN=COMODO RSA Domain Validation Secure Server CA

No client certificate CA names sent
Server Temp Key: DH, 1024 bits

SSL handshake has read 6572 bytes and written 407 bytes
Verification: OK

New, SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : DHE-RSA-AES256-SHA
Session-ID:
4855492DCD4A58B3C060C471048FA2F0DC01515F29AFB8414A80E859746BF50E
Session-ID-ctx:
Master-Key:
C01365653CB02B341D8D7909A855A073169AFA96C85E6A6E3818718C9216B1C93751F3A6BBFD218668751247F43F6D92
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket:
gnagnagna.
Start Time: 1505306080
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no

250 OK

qui me semble tout à fait valable (d'autant que dans cet exemple, le
serveur d'en face renvoie "Secure Renegotiation IS supported"). Suis-je
le seul à tomber sur ce genre de chose actuellement ? Je n'ai pas
l'impression que je puis faire autre chose que de demander à mon
sendmail de ne pas utiliser TLS lorsqu'il tombe sur une telle erreur
puisque j'ai l'affreuse impression que le problème se situe côté MX client.

J'ai pu remarquer que certains MX renvoyant cette erreur n'envoyaient
aucun certificat hier (typiquement ac-limoges.fr), en indiquant
fièrement que la renégociation du protocole était interdite, et se
permettent d'en envoyer un aujourd'hui. La question subsidiaire est :
quelqu'un sait-il s'il y a eu une mise à jour quelconque de serveurs de
mails commerciaux qui pourrait donner ce genre d'erreur récemment ? Je
trouve bizarre que des domaines qui n'ont rien à voir entre eux posent
des problèmes simultanément.

Cordialement,

JKB
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
BERTRAND Jo=c3=abl
Le #26444396
Rhohhh pétard, c'est encore bien pire que cela :
https://lists.debian.org/debian-user/2017/09/msg00210.html
J'aime bien Debian, mais les petits devs qui savent mieux que les autres
ce qui est bon pour eux, ça me gave, mais ça me gave !...
Autoritairement, openssl de Debian est patché pour n'accepter que TLS à
partir de 1.2. On se contrefiche royalement de tout ce qui peut encore
décider de n'utiliser que les versions inférieures et de tous les effets
de bord.
BERTRAND Jo=c3=abl
Le #26444408
Frédéric MASSOT a écrit :
Le 13/09/2017 à 15:00, BERTRAND Joël a écrit :
Rhohhh pétard, c'est encore bien pire que cela :
https://lists.debian.org/debian-user/2017/09/msg00210.html
J'aime bien Debian, mais les petits devs qui savent mieux que les autres
ce qui est bon pour eux, ça me gave, mais ça me gave !...
Autoritairement, openssl de Debian est patché pour n'accepter que TLS à
partir de 1.2. On se contrefiche royalement de tout ce qui peut encore
décider de n'utiliser que les versions inférieures et de tous les effets
de bord.

Le paquet "apt-listchanges" permet voir les nouveautés lors des mises à
jour.
Lors de la mise à jour du paquet openssl j'ai eu le message :
openssl (1.1.0f-5) unstable; urgency=medium
By default the minimum supported TLS version is 1.2. If you still need
to talk to applications that only support TLS 1.0 you should configure
the application to set the minimum supported version.

Très certes. J'avais bien vu ça. Sauf que j'avais zappé l'effet de bord
de serveur distants sur lesquels je n'ai pas la main.
JKB
Artur
Le #26444415
C'est peut-être une question un peu naïve, mais est-ce raisonnable
d'utiliser des versions instables de Debian dans ce qui semble être un
environnement de prod ?
Le 13/09/2017 à 15:00, BERTRAND Joël a écrit :
Rhohhh pétard, c'est encore bien pire que cela :
https://lists.debian.org/debian-user/2017/09/msg00210.html
J'aime bien Debian, mais les petits devs qui savent mieux que les
autres ce qui est bon pour eux, ça me gave, mais ça me gave !...
Autoritairement, openssl de Debian est patché pour n'accepter que TLS
à partir de 1.2. On se contrefiche royalement de tout ce qui peut
encore décider de n'utiliser que les versions inférieures et de tous
les effets de bord.

--
Cordialement,
Artur
BERTRAND Jo=c3=abl
Le #26444416
Artur a écrit :
C'est peut-être une question un peu naïve, mais est-ce raisonnable
d'utiliser des versions instables de Debian dans ce qui semble être un
environnement de prod ?

Ce n'est pas unstable mais testing parce que stable est un peu ancienne
pour les applications qui tournent sur cette machine.
Habituellement, je fais très attention aux mises à jours. Je n'ai pas
vu venir l'effet de bord (serveurs de mails distants qui refusaient la
renégociation sur TLS).
Nonobstant ceci, il est fort probable que ce paquet termine dans stable
avec tous les problèmes qui s'ensuivront. Nous sommes exactement dans la
situation d'il y a quelques années où un développeur Debian avait trouvé
malin d'optimiser le code d'OpenSSL en introduisant une subtile erreur.
Ici, on modifie le code de la bibliothèque parce que c'est certainement
plus sécurisant en se foutant éperdument des conséquences et des
problèmes d'interopérabilité. C'est un peu gênant. Et comme les logs se
trouvent sur les serveurs distants sur lesquels on n'a pas la main, il
peut se passer beaucoup de temps avant qu'on découvre le problème (je
m'en suis aperçu parce que deux domaines posaient problème en émission,
problème corrigé en patchant sendmail, et ce n'est qu'en analysant les
logs de sendmail que j'ai trouvé quelques lignes bizarres.).
Cordialement,
JKB
Artur
Le #26444421
Le 13/09/2017 à 17:35, BERTRAND Joël a écrit :
    Ce n'est pas unstable mais testing parce que stable est un peu
ancienne pour les applications qui tournent sur cette machine.

On va pas pinailler. Testing qui sortira en Stable dans 2 ans, c'est un
peu "instable". On est pas sur une version figée dont les applications
et les fonctionnalités n'évoluent plus.
il est fort probable que ce paquet termine dans stable avec tous les
problèmes qui s'ensuivront.

Ce n'est pas ce qui se dit dans le topic dont tu as donné le lien. Cette
modif ne devrait pas atterrir dans Stretch.
Et a priori, l'idée est de garder cette modif jusqu'à peu avant la
sortie de la nouvelle Debian, c'est à dire aussi longtemps que possible,
avant de revenir dessus si nécessaire. Bon, je n'ai pas lu les échanges
dans la ML des dévs, je n'ai pas la justification de cette démarche.
--
Cordialement,
Artur.
Charles Plessy
Le #26444471
Le Wed, Sep 13, 2017 at 05:35:15PM +0200, BERTRAND Joël a écrit :
Nonobstant ceci, il est fort probable que ce paquet termine dans
stable avec tous les problèmes qui s'ensuivront.

Mais avec les notes de publication qui y répondront.
Bonne journée,
Charles
--
Charles Plessy
Tsurumi, Kanagawa, Japon
Publicité
Poster une réponse
Anonyme