Postfix Dovecot et SSL : SSL23: unknown protocol

Le
andre_debian
Encore moi, dsol :-)

J'ai un serveur postfix + dovecot + ssl.

Il marche parfaitement avec le port POP 110,
mais pas du tout en mode SSL port 995.

Voici ce que me dit "tail /var/log/mail.err" :
dovecot: pop3-login: Error: SSL: Stacked error: error:140760FC:SSL
routines:SSL23_GET_CLIENT_HELLO:unknown protocol

Mes certifs crt et key semblent bons.
J'en ai crs d'autres mais idem.

J'ai fouill via Google, ce message m'apporte des centaines
de liens mais aucun ne m'aide.

Merci d'une piste

Andr
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Thierry Bugier Pineau
Le #26430311
--=-nuR+FWnV8LcrsvyhrF7u
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
Bonjour
Apparemment 2 essais sur 3 sont bons, et celui qui échoue doit venir du
fait que la résolution DNS sur le serveur n'est pas configurée pour
résoudre son propre nom. Au plus simple, il faudrait mettre à jour
/etc/hosts. C'est quand même mieux que le serveur sache comment il
s'appelle.
Dans les cas où la connection réussit, il faudrait vérifier qu'un
chiffrement est bien mis en place. La seule ligne "+OK Dovecot ready"
ne l'indique pas mais il doit y avoir une bonne quantité d'infos avant
elle; notamment au début.
A propos de l'erreur dans /var/log/mail.err, je chercherai tout à
l'heure dans mes notes si j'ai des infos à ce sujet. 
Le dimanche 26 mars 2017 à 23:23 +0200, a
écrit :
On Sunday 26 March 2017 22:27:06 you wrote:
J'ai fait un test avec le serveur SMTP de gmail :
openssl s_client -connect smtp.gmail.com:995 -debug
et ça a fonctionné. Il y aura une quantité importante

d'informations :
Depuis mon serveur :
openssl s_client -connect localhost:995 -debug :
les d'infos...
+OK Dovecot ready.
openssl s_client -connect <mon_domaine_serveur>:995 -debug :
aucune réponse... ou
gethostbyname failure
connect:errno=0
Depuis un poste client :
openssl s_client -connect <mon_domaine_serveur>:995 -debug :
les d'infos...
+OK Dovecot ready.
tail /var/log/mail.err :
ssl3_get_client_hello:no shared cipher
SSL23_GET_CLIENT_HELLO:unknown protocol
Voilà le topo,
bonne fin de soirée,
André
> > Le 26 mars 2017 19:45:28 GMT+02:00, andré a écrit :
> > >J'ai un serveur postfix + dovecot + ssl.
> > >Il marche parfaitement avec le port POP 110,
> > >mais pas du tout en mode SSL port 995.
> > >Voici ce que me dit "tail /var/log/mail.err" :
> > >dovecot: pop3-login: Error: SSL: Stacked error:
> error:140760FC:SSL 
> > >routines:SSL23_GET_CLIENT_HELLO:unknown protocol
> > >Mes certifs crt et key semblent bons.
> > >J'en ai créés d'autres mais idem.
> > >J'ai fouillé via Google, ce message m'apporte des centaines
> > >de liens mais aucun ne m'aide.
> > >Merci d'une piste...  André



--=-nuR+FWnV8LcrsvyhrF7u
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
<font color="#737373">&gt; J'ai fait un test avec le serveur SMTP de gmai l :</font>
Depuis mon serveur :
openssl s_client -connect localhost:995 -debug :
les d'infos...
+OK Dovecot ready.
openssl s_client -connect &lt;mon_domaine_serveur&gt;:995 -debug :
aucune réponse... ou
gethostbyname failure
connect:errno=0
Depuis un poste client :
openssl s_client -connect &lt;mon_domaine_serveur&gt;:995 -debug :
les d'infos...
+OK Dovecot ready.
tail /var/log/mail.err :
ssl3_get_client_hello:no shared cipher
SSL23_GET_CLIENT_HELLO:unknown protocol
Voilà le topo,
bonne fin de soirée,
André
<font color="#737373">&gt; &gt; &gt; Le 26 mars 2017 19:45:28 GMT+02:00, andré&nbsp;a écrit :</font>
<font color="#737373">&gt; &gt; &gt; &gt;Il marche parfaitement avec le p ort POP 110,</font>
<font color="#737373">&gt; &gt; &gt; &gt;dovecot: pop3-login: Error: SSL: Stacked error:</font>
<font color="#737373">&gt; &gt; error:140760FC:SSL&nbsp;</font>
<font color="#737373">&gt; &gt; &gt; &gt;routines:SSL23_GET_CLIENT_HELLO: unknown protocol</font>
<font color="#737373">&gt; &gt; &gt; &gt;J'ai fouillé via Google, ce message m'apporte des centaines</font>
</pre></div>
</body></html>
--=-nuR+FWnV8LcrsvyhrF7u--
Thierry Bugier Pineau
Le #26430550
--=-O6JKS1vCSI2bQ8OCzV0f
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
Le mardi 28 mars 2017 à 11:02 +0200, a
écrit :
On Monday 27 March 2017 09:05:21 Thierry Bugier Pineau wrote:
Apparemment 2 essais sur 3 sont bons, et celui qui échoue doit

venir du
fait que la résolution DNS sur le serveur n'est pas configurée pour
résoudre son propre nom. Au plus simple, il faudrait mettre à jour
/etc/hosts. C'est quand même mieux que le serveur sache comment il
s'appelle :

Le fichier "/etc/hosts" sur le serveur :
<IP> nom-serveur.domaine  domaine  pop.domaine  smtp.domaine
C'est bon ?

Dans mes diverses notes j'ai retenu ceci pour /etc/hosts
127.0.0.1 localhost127.0.1.1 nom-serveur.domaine 
domaine  pop.domaine  smtp.domaine
D'ailleurs si quelqu'un sait m'expliquer pourquoi attribuer les noms
"personnalisés" sur 127.0.1.1 au lieu de 127.0.0.1, je suis preneur.
J'ai remarqué que si on ne remplit pas le fichier correctement la
commande hostname peut s'en trouver perturbée. Je conseille donc de
vérifier après le changement que hostname -d, hostname -s et hostname
-f donnent un résultat cohérent, sans lenteur. 
Dans les cas où la connection réussit, il faudrait vérifier qu'un
chiffrement est bien mis en place. La seule ligne "+OK Dovecot

ready"
ne l'indique pas mais il doit y avoir une bonne quantité d'infos

avant
elle; notamment au début :

Oui, avant "+OK Dovecot ready" il y a des tas d'infos sur le
certificat,
sans message d'erreur.
A propos de l'erreur dans /var/log/mail.err, je chercherai tout à
l'heure dans mes notes si j'ai des infos à ce sujet :

Elles sont toujours d'actualité, je les rappelle :
dovecot: pop3-login: Error: SSL: Stacked error: error:140760FC:SSL 
routines:SSL23_GET_CLIENT_HELLO:unknown protocol
dovecot: pop3-login: Error: SSL: Stacked error: error:1408A0C1:SSL 
routines:ssl3_get_client_hello:no shared cipher

Pour ces erreurs je n'ai pas encore pu fouiller mes notes; mais un coup
d'oeil sur google m'a montré que ce n'est pas spécifique à dovecot,
donc il y a potentiellement un réel souci sur le SSL ou bien sur
l'utilisation de SSL par Dovecot.
Merci,
André


--=-O6JKS1vCSI2bQ8OCzV0f
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: 8bit
<font color="#737373">&gt; Apparemment 2 essais sur 3 sont bons, et celui qui échoue doit venir du</font>
<font color="#737373">&gt; fait que la résolution DNS sur le serveur n'est pas configurée pour</font>
<font color="#737373">&gt; s'appelle :</font>
Le fichier "/etc/hosts" sur le serveur :
&lt;IP&gt; nom-serveur.domaine&nbsp; domaine&nbsp; pop.domaine&nbsp; smtp.domaine
C'est bon ?
<font color="#737373">&gt; Dans les cas où la connection réussit, il faudrait vérifier qu'un</font>
<font color="#737373">&gt; ne l'indique pas mais il doit y avoir une bonne quantité d'infos avant</font>
<font color="#737373">&gt; elle; notamment au début :</font>
Oui, avant "+OK Dovecot ready" il y a des tas d'infos sur le certificat,
sans message d'erreur.
<font color="#737373">&gt; l'heure dans mes notes si j'ai des infos à ce sujet :</font>
Elles sont toujours d'actualité, je les rappelle :
dovecot: pop3-login: Error: SSL: Stacked error: error:140760FC:SSL
routines:SSL23_GET_CLIENT_HELLO:unknown protocol
dovecot: pop3-login: Error: SSL: Stacked error: error:1408A0C1:SSL
routines:ssl3_get_client_hello:no shared cipher
Merci,
André
</pre></div>
</body></html>
--=-O6JKS1vCSI2bQ8OCzV0f--
Thierry Bugier Pineau
Le #26430969
--=-ku/0HWuzErlm/eK+YBjS
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
Bonjour
Ce serait intéressant de savoir ce que contenant la lishe
ssl_cipher_list avant modification, et ce qu'elle contient maintenant.
A propos de /etc/hosts, il est clair que c'était pas le souci, mais
dans les essais fait il y a quelques jours, le serveur ne pouvait pas
résoudre son propre nom. Modifier /etc/hosts résout ce petit détail.
Je vous invite à utilsier un outil de test SSL / TLS en ligne pour
affiner la configuration maintenant, car il y a un paquet de choses à
faire pour avoir un chiffrement pas trop fragile.
Le vendredi 31 mars 2017 à 12:20 +0200, a
écrit :
On Thursday 30 March 2017 16:00:40  wrote:
ça semble remarcher.

# tail /var/log/mail.err
n'affiche plus d'erreur : "SSL23: unknown protocol",
mais toujours l'erreur :
"pop3-login : Error : ssl3_get_client_hello : no shared cipher"

Je n'ai plus de message d'erreur dans :
/var/log/mail.err, ni /var/log/mail.log
Le problème venait de "cipher",
/etc/dovecot/conf.d/10-ssl.conf" => ligne "ssl_cipher_list = "
à adapter.
Bonne journée à tous,
André


--=-ku/0HWuzErlm/eK+YBjS
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
<font color="#737373">&gt; n'affiche plus d'erreur : "SSL23: unknown prot ocol",</font>
<font color="#737373">&gt; mais toujours l'erreur :</font>
<font color="#737373">&gt; "pop3-login : Error : ssl3_get_client_hello : no shared cipher"</font>
Je n'ai plus de message d'erreur dans :
/var/log/mail.err, ni /var/log/mail.log
Le problème venait de "cipher",
/etc/dovecot/conf.d/10-ssl.conf" =&gt; ligne "ssl_cipher_list = "
à adapter.
Bonne journée à tous,
André
</pre></div>
</body></html>
--=-ku/0HWuzErlm/eK+YBjS--
Thierry Bugier Pineau
Le #26430997
--=-VEVzKbA8b5xpZcSqyPrC
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
Bonsoir
De ce que je vois la nouvelle liste n'exclut pas explicitement SSLv3,
TLSv1.0 et TLSv1.1. Ces trois méthodes de chiffrement sont désormais
vulnérables.
Je pense que vous devez inventorier les clients mail qui seront
utilisés et rechercher pour chacun si ils supportent TLSv1.2. Si c'est
le cas (ce qui est très probable) alors il faut a jouter !SSLv3,
!TLSv1.0 et !TLSv1.1 . Je devine que vous avez pris votre liste quelque
part sur une vieille source non maintenue (elles pulullent et ce mail
sera obsolète dans quelques mois ou années). 
En gros, SSL est complètement obsolète et seul TLSv1.2+ reste encore
valable (de ce que je sais à ce jour).
Pour tester si SSLv2, v2 et TLS v1.0, 1.1 sont permis, réutilisez la
commande openssl s_client que j'ai donnée il y a quelques jours et
ajoutez un argument qui force l'usage d'une méthode de chiffrement.
Essayez successivement les arguments suivants:
-ssl2-ssl3-tls1-tls1_1-tls1_2
(plus de détail ici https://www.openssl.org/docs/man1.0.1/apps/s_client
.html)
Une bonne configuration fera en sorte que seul -tls1_2 aboutira à une
connection réussie. Les autres doivent échouer.
Après il y a le perfect forward secrecy à vérifier, je n'ai pas encore
la connaissance suffisante à ce sujet mais c'est encore uen question de
réglage sur le SSL/TLS. (introduction ici https://fr.wikipedia.org/wiki
/Confidentialit%C3%A9_persistante)
Peut être que la cipher suite préférée pour mon serveur web sera
intéressante; je la partage tout à l'heure.
Le vendredi 31 mars 2017 à 19:00 +0200, a
écrit :
On Friday 31 March 2017 14:22:31 Thierry Bugier Pineau wrote:
Ce serait intéressant de savoir ce que contenant la liste
ssl_cipher_list avant modification, et ce qu'elle contient

maintenant.
Avant :
ssl_cipher_list > ALL:!LOW:!SSLv2:!SSLv3:ALL:!aNULL:!ADH:!eNULL:!EXP:RC4+RSA:
+HIGH:+MEDIUM
Maintenant :
ssl_cipher_list = TLSv1+HIGH !SSLv2 !RC4 !aNULL !eNULL !3DES
@STRENGTH
Je vous invite à utiliser un outil de test SSL / TLS en ligne : 

SSL/TLS est bien activé et l'outil de test est positif,
openssl, testssl etc...
pour affiner la configuration maintenant, car il y a un paquet 
de  choses à faire pour avoir un chiffrement pas trop fragile.

"Affiner et un paquet de  choses à faire" :
que peut-on faire ?  Là je suis dépassé...
André


--=-VEVzKbA8b5xpZcSqyPrC
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
<font color="#737373">&gt; Ce serait intéressant de savoir ce que co ntenant la liste</font>
Avant :
ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:ALL:!aNULL:!ADH:!eNULL:!EXP:RC4+ RSA:
+HIGH:+MEDIUM
Maintenant :
ssl_cipher_list = TLSv1+HIGH !SSLv2 !RC4 !aNULL !eNULL !3DES @STRENGTH
<font color="#737373">&gt; Je vous invite à utiliser un outil de tes t SSL / TLS en ligne : </font>
SSL/TLS est bien activé et l'outil de test est positif,
openssl, testssl etc...
<font color="#737373">&gt; pour affiner la configuration maintenant, car il y a un paquet </font>
"Affiner et un paquet de&nbsp; choses à faire" :
que peut-on faire ?&nbsp; Là je suis dépassé...
André
</pre></div>
</body></html>
--=-VEVzKbA8b5xpZcSqyPrC--
Thierry Bugier Pineau
Le #26431234
--=-kyIOxOJwYwMIH3Rm8JA8
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
Bonjour
le sujet a achevé de me motiver pour m'y remettre aussi. D'où mon
silence.  J'ai préparé postfix, je continue avec Dovecot dans les jours
à venir et ensuite je m'attaque au TLS pour atteindre le même niveau de
progression et donner un coup de main.
J'essaie aussi de créer un script shell (très sommaire) pour rendre la
configuration maintenable et reproductible (que je partagerai
volontiers sur github).
Le mardi 04 avril 2017 à 10:24 +0200, a
écrit :
J'avais déclaré le sujet "résolu" un peu vite, désolé.
Ça ne fonctionne pas avec "imap",
voici ce que Kmail me répond (port 143 ou 993) :
================ > "impossible de se connecter à « imap.mon_domaine »
Le serveur n'a pas répondu correctement :
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE
IDLE 
STARTTLS AUTH=PLAIN] Dovecot ready"
================ >
Avec le port 110, ça fonctionne mais je dois confirmer le certificat.
Bonne journée,
André


--=-kyIOxOJwYwMIH3Rm8JA8
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: 8bit
Ça ne fonctionne pas avec "imap",
voici ce que Kmail me répond (port 143 ou 993) :
================ "impossible de se connecter à « imap.mon_domaine »
Le serveur n'a pas répondu correctement :
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE
STARTTLS AUTH=PLAIN] Dovecot ready"
================
Avec le port 110, ça fonctionne mais je dois confirmer le certificat.
Bonne journée,
André
</pre></div>
</body></html>
--=-kyIOxOJwYwMIH3Rm8JA8--
=c3
Le #26432029
Bonjour,
On 04/15/2017 12:00 PM, G2PC wrote:
*Afficher un ascii art au lancement de votre terminal*
Le code suivant avec ZSH affiche l'erreur : zsh: bad pattern: e[0
e[0;36m.
zsh: bad pattern: e[0
Avez vous une piste pour permettre l'affichage ?

On dirait que zsh tente d'interprêter ton code d'échappement au
lieu de le passer au terminal. As-tu protégé ta chaîne de caractères
avec des doubles quotes?
Normalement la commande suivante devrait t'afficher un point vert:
echo -e "e[0;36m."
J'ai fait le test en bash, mais le comportement devrait être assez
voisin de celui de zsh dans ce cas.
À plus,
--
Étienne Mollier
Pierre Malard
Le #26432032
--Apple-Mail=_98469944-B243-472B-965F-19967F1886B4
Content-Type: multipart/alternative;
boundary="Apple-Mail=_75C5787C-4509-4B01-82BC-51F0C9E857BB"
--Apple-Mail=_75C5787C-4509-4B01-82BC-51F0C9E857BB
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
charset=utf-8
Je pense que cela dépend plus de la commande utilisée que du shell. Regarde déjà sur tu as accès à l’option « -e » avec echo en lisant le man.
Sinon, tu peux toujours essayer avec un « printf »…
Le 15 avr. 2017 à 12:54, Étienne Mollier Bonjour,
On 04/15/2017 12:00 PM, G2PC wrote:
*Afficher un ascii art au lancement de votre terminal*
Le code suivant avec ZSH affiche l'erreur : zsh: bad pattern: e[0
e[0;36m.
zsh: bad pattern: e[0
Avez vous une piste pour permettre l'affichage ?

On dirait que zsh tente d'interprêter ton code d'échappement au
lieu de le passer au terminal. As-tu protégé ta chaîne de caractères
avec des doubles quotes?
Normalement la commande suivante devrait t'afficher un point vert:
echo -e "e[0;36m."
J'ai fait le test en bash, mais le comportement devrait être assez
voisin de celui de zsh dans ce cas.
À plus,
--
Étienne Mollier

--
Pierre Malard
« Tous les Français ambitionnent pour la France un grand rôle
dans le monde. Ce n'est point par des aventures guerrières qu'elle
le trouvera, c'est en donnant aux peuples l'exemple et le signal
de justice. »
Jean Jaures - "L'idéal de justice" - 1889
| _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. , ( `'-'
'---''(_/--' `-'_) πr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_): 24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
--Apple-Mail=_75C5787C-4509-4B01-82BC-51F0C9E857BB
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html;
charset=utf-8
</div>
<br class=""></div></div></body></html>
--Apple-Mail=_75C5787C-4509-4B01-82BC-51F0C9E857BB--
--Apple-Mail=_98469944-B243-472B-965F-19967F1886B4
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment;
filename=signature.asc
Content-Type: application/pgp-signature;
name=signature.asc
Content-Description: Message signed with OpenPGP
-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.0.30
Comment: GPGTools - http://gpgtools.org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=oEhj
-----END PGP SIGNATURE-----
--Apple-Mail=_98469944-B243-472B-965F-19967F1886B4--
Publicité
Poster une réponse
Anonyme