[IKI-aktivistit] ongelma spamgourmet.com:n kanssa

Harald Hannelius harald at iki.fi
Tue Sep 19 11:52:33 EEST 2023 

On Wed, 13 Sep 2023, Tero Kivinen wrote:

> Eli spamgourmet on ottanyt tls yhteyden mutta sen jälkeen ei ole enää
> lähettänyt mitään. On ensin yrittänyt eilopu.iki.fi:hin ja sitten 4
> sekuntia myöhemmin seuraavaan MX:ään eli javielään ja siitä sitten
> vielä sekunta myöhemmin viimeisen MX:ään eli jutikkaan.
>
> Se siis muodostaa STARTTLS:n jälkeen TLS yhteyden, mutta ehkä jotain
> siinä menee vikaan koska se ei sitten enää koskaan lähetä mitään, vaan
> sulkee yhteyden suoraan.

Olen nähnyt näitä samankaltaisia ongelmia kun esim. Debianiin on tullut 
uudempi SSL-kirjasto joka ei enää oletusarvoisesti tue TLS 1.0 tai 1.1 
versioita.

Toinen palvelin ottaa yhteyttä ja vastaanottava sanoo STARTTLS.
Toinen palvelin sanoo YESS ja aloittaa TLS-kättelyn pyytäen SSL v1.0 tai 
v1.1 salausta.
Vastaanottava sanoo että 1.0 tai 1.1 on no-can-do koska security reasons.
Koska STARTTLS komennon jälkeen ei voi enää mennä takaisin salaamattomaan, 
yhteys suljetaan. Lokiin jää joku epämääräinen TLS-error;

  STARTTLS=server, error: accept failed=-1, reason=unknown, SSL_error=5, 
errno=0, retry=-1, relay=[xx.yy.zz.öö]

Tuon voi tarkastaa tuollaisella;

openssl s_client -CApath /etc/ssl/certs/ -starttls smtp \
   -crlf -connect smtp.palvelu.fi:587

Jos kättely onnistuu näkyy TLS-versio ulosteessa.

$ echo quit |openssl s_client -CApath /etc/ssl/certs/ -starttls smtp -crlf 
-connect eilopu.iki.fi:587
...
---
SSL handshake has read 2870 bytes and written 806 bytes
Verification error: self-signed certificate in certificate chain
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
...

Yllättävän monella sähköpostipalvelimella on vielä yli 8 vuotta vanhaa 
softaa käytössä.

Tuo gourmet.spamgourmet.com:25 näyttää kyllä olevan OK;

SSL handshake has read 16666 bytes and written 458 bytes
Verification error: self signed certificate
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384



Jos oikein haluaa, niin tuon voi kiertää vastaanottavalla palvelimella 
sallimalla alemman tason TLS-versiot;

/etc/ssl/openssl.cnf:

[system_default_sect]
CipherString = DEFAULT at SECLEVEL=1

Default taitaa olla nykyään SECLEVEL=2.

Mielestäni palvelin jossa on vanha softa on se, jota pitää korjata. On 
kuitenkin ollut 10+ vuotta aikaa reagoida tähän.


-- 
Harald Hannelius | harald at iki.fi | +358505941020

More information about the IKI-aktivistit mailing list