Postfix Dovecot et SSL : SSL23: unknown protocol
Le
andre_debian

Encore moi, désolé :-)
J'ai un serveur postfix + dovecot + ssl.
Il marche parfaitement avec le port POP 110,
mais pas du tout en mode SSL port 995.
Voici ce que me dit "tail /var/log/mail.err" :
dovecot: pop3-login: Error: SSL: Stacked error: error:140760FC:SSL
routines:SSL23_GET_CLIENT_HELLO:unknown protocol
Mes certifs crt et key semblent bons.
J'en ai créés d'autres mais idem.
J'ai fouillé via Google, ce message m'apporte des centaines
de liens mais aucun ne m'aide.
Merci d'une piste
André
J'ai un serveur postfix + dovecot + ssl.
Il marche parfaitement avec le port POP 110,
mais pas du tout en mode SSL port 995.
Voici ce que me dit "tail /var/log/mail.err" :
dovecot: pop3-login: Error: SSL: Stacked error: error:140760FC:SSL
routines:SSL23_GET_CLIENT_HELLO:unknown protocol
Mes certifs crt et key semblent bons.
J'en ai créés d'autres mais idem.
J'ai fouillé via Google, ce message m'apporte des centaines
de liens mais aucun ne m'aide.
Merci d'une piste
André
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
Bonjour
Apparemment 2 essais sur 3 sont bons, et celui qui échoue doit venir du
fait que la résolution DNS sur le serveur n'est pas configurée pour
résoudre son propre nom. Au plus simple, il faudrait mettre à jour
/etc/hosts. C'est quand même mieux que le serveur sache comment il
s'appelle.
Dans les cas où la connection réussit, il faudrait vérifier qu'un
chiffrement est bien mis en place. La seule ligne "+OK Dovecot ready"
ne l'indique pas mais il doit y avoir une bonne quantité d'infos avant
elle; notamment au début.
A propos de l'erreur dans /var/log/mail.err, je chercherai tout Ã
l'heure dans mes notes si j'ai des infos à ce sujet.Â
Le dimanche 26 mars 2017 Ã 23:23 +0200, a
écrit :
--=-nuR+FWnV8LcrsvyhrF7u
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
<font color="#737373">> J'ai fait un test avec le serveur SMTP de gmai l :</font>
Depuis mon serveur :
openssl s_client -connect localhost:995 -debug :
les d'infos...
+OK Dovecot ready.
openssl s_client -connect <mon_domaine_serveur>:995 -debug :
aucune réponse... ou
gethostbyname failure
connect:errno=0
Depuis un poste client :
openssl s_client -connect <mon_domaine_serveur>:995 -debug :
les d'infos...
+OK Dovecot ready.
tail /var/log/mail.err :
ssl3_get_client_hello:no shared cipher
SSL23_GET_CLIENT_HELLO:unknown protocol
Voilà le topo,
bonne fin de soirée,
André
<font color="#737373">> > > Le 26 mars 2017 19:45:28 GMT+02:00, andré a écrit :</font>
<font color="#737373">> > > >Il marche parfaitement avec le p ort POP 110,</font>
<font color="#737373">> > > >dovecot: pop3-login: Error: SSL: Stacked error:</font>
<font color="#737373">> > error:140760FC:SSL </font>
<font color="#737373">> > > >routines:SSL23_GET_CLIENT_HELLO: unknown protocol</font>
<font color="#737373">> > > >J'ai fouillé via Google, ce message m'apporte des centaines</font>
</pre></div>
</body></html>
--=-nuR+FWnV8LcrsvyhrF7u--
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
Le mardi 28 mars 2017 Ã 11:02 +0200, a
écrit :
Dans mes diverses notes j'ai retenu ceci pour /etc/hosts
127.0.0.1 localhost127.0.1.1 nom-serveur.domaineÂ
domaine pop.domaine smtp.domaine
D'ailleurs si quelqu'un sait m'expliquer pourquoi attribuer les noms
"personnalisés" sur 127.0.1.1 au lieu de 127.0.0.1, je suis preneur.
J'ai remarqué que si on ne remplit pas le fichier correctement la
commande hostname peut s'en trouver perturbée. Je conseille donc de
vérifier après le changement que hostname -d, hostname -s et hostname
-f donnent un résultat cohérent, sans lenteur.Â
Pour ces erreurs je n'ai pas encore pu fouiller mes notes; mais un coup
d'oeil sur google m'a montré que ce n'est pas spécifique à dovecot,
donc il y a potentiellement un réel souci sur le SSL ou bien sur
l'utilisation de SSL par Dovecot.
--=-O6JKS1vCSI2bQ8OCzV0f
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: 8bit
<font color="#737373">> Apparemment 2 essais sur 3 sont bons, et celui qui échoue doit venir du</font>
<font color="#737373">> fait que la résolution DNS sur le serveur n'est pas configurée pour</font>
<font color="#737373">> s'appelle :</font>
Le fichier "/etc/hosts" sur le serveur :
<IP> nom-serveur.domaine domaine pop.domaine smtp.domaine
C'est bon ?
<font color="#737373">> Dans les cas où la connection réussit, il faudrait vérifier qu'un</font>
<font color="#737373">> ne l'indique pas mais il doit y avoir une bonne quantité d'infos avant</font>
<font color="#737373">> elle; notamment au début :</font>
Oui, avant "+OK Dovecot ready" il y a des tas d'infos sur le certificat,
sans message d'erreur.
<font color="#737373">> l'heure dans mes notes si j'ai des infos à ce sujet :</font>
Elles sont toujours d'actualité, je les rappelle :
dovecot: pop3-login: Error: SSL: Stacked error: error:140760FC:SSL
routines:SSL23_GET_CLIENT_HELLO:unknown protocol
dovecot: pop3-login: Error: SSL: Stacked error: error:1408A0C1:SSL
routines:ssl3_get_client_hello:no shared cipher
Merci,
André
</pre></div>
</body></html>
--=-O6JKS1vCSI2bQ8OCzV0f--
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
Bonjour
Ce serait intéressant de savoir ce que contenant la lishe
ssl_cipher_list avant modification, et ce qu'elle contient maintenant.
A propos de /etc/hosts, il est clair que c'était pas le souci, mais
dans les essais fait il y a quelques jours, le serveur ne pouvait pas
résoudre son propre nom. Modifier /etc/hosts résout ce petit détail.
Je vous invite à utilsier un outil de test SSL / TLS en ligne pour
affiner la configuration maintenant, car il y a un paquet de choses Ã
faire pour avoir un chiffrement pas trop fragile.
Le vendredi 31 mars 2017 Ã 12:20 +0200, a
écrit :
--=-ku/0HWuzErlm/eK+YBjS
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
<font color="#737373">> n'affiche plus d'erreur : "SSL23: unknown prot ocol",</font>
<font color="#737373">> mais toujours l'erreur :</font>
<font color="#737373">> "pop3-login : Error : ssl3_get_client_hello : no shared cipher"</font>
Je n'ai plus de message d'erreur dans :
/var/log/mail.err, ni /var/log/mail.log
Le problème venait de "cipher",
/etc/dovecot/conf.d/10-ssl.conf" => ligne "ssl_cipher_list = "
à adapter.
Bonne journée à tous,
André
</pre></div>
</body></html>
--=-ku/0HWuzErlm/eK+YBjS--
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
Bonsoir
De ce que je vois la nouvelle liste n'exclut pas explicitement SSLv3,
TLSv1.0 et TLSv1.1. Ces trois méthodes de chiffrement sont désormais
vulnérables.
Je pense que vous devez inventorier les clients mail qui seront
utilisés et rechercher pour chacun si ils supportent TLSv1.2. Si c'est
le cas (ce qui est très probable) alors il faut a jouter !SSLv3,
!TLSv1.0 et !TLSv1.1 . Je devine que vous avez pris votre liste quelque
part sur une vieille source non maintenue (elles pulullent et ce mail
sera obsolète dans quelques mois ou années).Â
En gros, SSL est complètement obsolète et seul TLSv1.2+ reste encore
valable (de ce que je sais à ce jour).
Pour tester si SSLv2, v2 et TLS v1.0, 1.1 sont permis, réutilisez la
commande openssl s_client que j'ai donnée il y a quelques jours et
ajoutez un argument qui force l'usage d'une méthode de chiffrement.
Essayez successivement les arguments suivants:
-ssl2-ssl3-tls1-tls1_1-tls1_2
(plus de détail ici https://www.openssl.org/docs/man1.0.1/apps/s_client
.html)
Une bonne configuration fera en sorte que seul -tls1_2 aboutira à une
connection réussie. Les autres doivent échouer.
Après il y a le perfect forward secrecy à vérifier, je n'ai pas encore
la connaissance suffisante à ce sujet mais c'est encore uen question de
réglage sur le SSL/TLS. (introduction ici https://fr.wikipedia.org/wiki
/Confidentialit%C3%A9_persistante)
Peut être que la cipher suite préférée pour mon serveur web sera
intéressante; je la partage tout à l'heure.
Le vendredi 31 mars 2017 Ã 19:00 +0200, a
écrit :
--=-VEVzKbA8b5xpZcSqyPrC
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
<font color="#737373">> Ce serait intéressant de savoir ce que co ntenant la liste</font>
Avant :
ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:ALL:!aNULL:!ADH:!eNULL:!EXP:RC4+ RSA:
+HIGH:+MEDIUM
Maintenant :
ssl_cipher_list = TLSv1+HIGH !SSLv2 !RC4 !aNULL !eNULL !3DES @STRENGTH
<font color="#737373">> Je vous invite à utiliser un outil de tes t SSL / TLS en ligne : </font>
SSL/TLS est bien activé et l'outil de test est positif,
openssl, testssl etc...
<font color="#737373">> pour affiner la configuration maintenant, car il y a un paquet </font>
"Affiner et un paquet de choses à faire" :
que peut-on faire ? Là je suis dépassé...
André
</pre></div>
</body></html>
--=-VEVzKbA8b5xpZcSqyPrC--
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
Bonjour
le sujet a achevé de me motiver pour m'y remettre aussi. D'où mon
silence.  J'ai préparé postfix, je continue avec Dovecot dans les jours
à venir et ensuite je m'attaque au TLS pour atteindre le même niveau de
progression et donner un coup de main.
J'essaie aussi de créer un script shell (très sommaire) pour rendre la
configuration maintenable et reproductible (que je partagerai
volontiers sur github).
Le mardi 04 avril 2017 Ã 10:24 +0200, a
écrit :
--=-kyIOxOJwYwMIH3Rm8JA8
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: 8bit
Ça ne fonctionne pas avec "imap",
voici ce que Kmail me répond (port 143 ou 993) :
================ "impossible de se connecter à « imap.mon_domaine »
Le serveur n'a pas répondu correctement :
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE
STARTTLS AUTH=PLAIN] Dovecot ready"
================
Avec le port 110, ça fonctionne mais je dois confirmer le certificat.
Bonne journée,
André
</pre></div>
</body></html>
--=-kyIOxOJwYwMIH3Rm8JA8--
On 04/15/2017 12:00 PM, G2PC wrote:
On dirait que zsh tente d'interprêter ton code d'échappement au
lieu de le passer au terminal. As-tu protégé ta chaîne de caractères
avec des doubles quotes?
Normalement la commande suivante devrait t'afficher un point vert:
echo -e "e[0;36m."
J'ai fait le test en bash, mais le comportement devrait être assez
voisin de celui de zsh dans ce cas.
À plus,
--
Étienne Mollier
Content-Type: multipart/alternative;
boundary="Apple-Mail=_75C5787C-4509-4B01-82BC-51F0C9E857BB"
--Apple-Mail=_75C5787C-4509-4B01-82BC-51F0C9E857BB
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
charset=utf-8
Je pense que cela dépend plus de la commande utilisée que du shell. Regarde déjà sur tu as accès à l’option « -e » avec echo en lisant le man.
Sinon, tu peux toujours essayer avec un « printf »…
--
Pierre Malard
« Tous les Français ambitionnent pour la France un grand rôle
dans le monde. Ce n'est point par des aventures guerrières qu'elle
le trouvera, c'est en donnant aux peuples l'exemple et le signal
de justice. »
Jean Jaures - "L'idéal de justice" - 1889
| _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. , ( `'-'
'---''(_/--' `-'_) πr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_): 24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
--Apple-Mail=_75C5787C-4509-4B01-82BC-51F0C9E857BB
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html;
charset=utf-8
</div>
<br class=""></div></div></body></html>
--Apple-Mail=_75C5787C-4509-4B01-82BC-51F0C9E857BB--
--Apple-Mail=_98469944-B243-472B-965F-19967F1886B4
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment;
filename=signature.asc
Content-Type: application/pgp-signature;
name=signature.asc
Content-Description: Message signed with OpenPGP
-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.0.30
Comment: GPGTools - http://gpgtools.org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=oEhj
-----END PGP SIGNATURE-----
--Apple-Mail=_98469944-B243-472B-965F-19967F1886B4--