[IKI-aktivistit] ongelma spamgourmet.com:n kanssa
Harald Hannelius
harald at iki.fi
Tue Sep 19 11:52:33 EEST 2023
On Wed, 13 Sep 2023, Tero Kivinen wrote:
> Eli spamgourmet on ottanyt tls yhteyden mutta sen jälkeen ei ole enää
> lähettänyt mitään. On ensin yrittänyt eilopu.iki.fi:hin ja sitten 4
> sekuntia myöhemmin seuraavaan MX:ään eli javielään ja siitä sitten
> vielä sekunta myöhemmin viimeisen MX:ään eli jutikkaan.
>
> Se siis muodostaa STARTTLS:n jälkeen TLS yhteyden, mutta ehkä jotain
> siinä menee vikaan koska se ei sitten enää koskaan lähetä mitään, vaan
> sulkee yhteyden suoraan.
Olen nähnyt näitä samankaltaisia ongelmia kun esim. Debianiin on tullut
uudempi SSL-kirjasto joka ei enää oletusarvoisesti tue TLS 1.0 tai 1.1
versioita.
Toinen palvelin ottaa yhteyttä ja vastaanottava sanoo STARTTLS.
Toinen palvelin sanoo YESS ja aloittaa TLS-kättelyn pyytäen SSL v1.0 tai
v1.1 salausta.
Vastaanottava sanoo että 1.0 tai 1.1 on no-can-do koska security reasons.
Koska STARTTLS komennon jälkeen ei voi enää mennä takaisin salaamattomaan,
yhteys suljetaan. Lokiin jää joku epämääräinen TLS-error;
STARTTLS=server, error: accept failed=-1, reason=unknown, SSL_error=5,
errno=0, retry=-1, relay=[xx.yy.zz.öö]
Tuon voi tarkastaa tuollaisella;
openssl s_client -CApath /etc/ssl/certs/ -starttls smtp \
-crlf -connect smtp.palvelu.fi:587
Jos kättely onnistuu näkyy TLS-versio ulosteessa.
$ echo quit |openssl s_client -CApath /etc/ssl/certs/ -starttls smtp -crlf
-connect eilopu.iki.fi:587
...
---
SSL handshake has read 2870 bytes and written 806 bytes
Verification error: self-signed certificate in certificate chain
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
...
Yllättävän monella sähköpostipalvelimella on vielä yli 8 vuotta vanhaa
softaa käytössä.
Tuo gourmet.spamgourmet.com:25 näyttää kyllä olevan OK;
SSL handshake has read 16666 bytes and written 458 bytes
Verification error: self signed certificate
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Jos oikein haluaa, niin tuon voi kiertää vastaanottavalla palvelimella
sallimalla alemman tason TLS-versiot;
/etc/ssl/openssl.cnf:
[system_default_sect]
CipherString = DEFAULT at SECLEVEL=1
Default taitaa olla nykyään SECLEVEL=2.
Mielestäni palvelin jossa on vanha softa on se, jota pitää korjata. On
kuitenkin ollut 10+ vuotta aikaa reagoida tähän.
--
Harald Hannelius | harald at iki.fi | +358505941020
More information about the IKI-aktivistit
mailing list