donderdag 19 februari 2015 13:06

Acties:
  • 0 Henk 'm!
  • Synch
  • Registratie: November 2006
  • Laatst online: 09:36

Synch

Topicstarter
Hoi,

Een van mijn klanten heeft problemen met het verzenden van mail via mijn VPS. Er wordt gebruik gemaakt van Apple Mail, welke SSL errors geeft. De mailserver van mijn vps draait op Postfix en Courier en in de logs zie ik op het moment van verzenden de volgende meldingen voorbij komen:

code:
1
2
3
4

Feb 19 11:57:11 vps422 postfix/smtpd[28840]: connect from ip-adres-van-klant.ip.telfort.nl[ip-adres-van-klant]
Feb 19 11:57:11 vps422 postfix/smtpd[28840]: SSL_accept error from ip-adres-van-klant.ip.telfort.nl[ip-adres-van-klant]: -1
Feb 19 11:57:11 vps422 postfix/smtpd[28840]: lost connection after STARTTLS from ip-adres-van-klant.ip.telfort.nl[ip-adres-van-klant]
Feb 19 11:57:11 vps422 postfix/smtpd[28840]: disconnect from ip-adres-van-klant.ip.telfort.nl[ip-adres-van-klant]


Ik heb de klant gevraagd om SSL / StartTLS uit te zetten maar het probleem blijft bestaan. Ik heb de settings van Postfix / Courier nagelopen en gechekt of onbeveiligde verbindingen geaccepteerd worden. Nu loop ik vast.

De VPS draait Debian Squeeze met OpenPanel.

Wie kan mij helpen? Alvast bedankt!

donderdag 19 februari 2015 18:42

Acties:
  • 0 Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 11-09 21:28

CAPSLOCK2000

zie teletekst pagina 888

Squeeze is niet heel modern. Wat is je SSL-configuratie. Sta je misschien alleen SSLv3 (en/of ouder) toe? Ik weet niet of Squeeze wel is geupdate met een moderne SSL-config. Wat voor meldingen krijg je als die klant SSL/STARTTLS heeft uitgeschakeld (al raad ik dat enorm af).

This post is warranted for the full amount you paid me for it.

donderdag 19 februari 2015 18:57

Acties:
  • 0 Henk 'm!
  • Bastien
  • Registratie: Augustus 2001
  • Niet online

Bastien

Probleemeigenaar

Heb je een self-signed certificaat of een echte welke geverifieerd kan worden? Mogelijk, in het eerste geval, dat in de client aangezet moet worden dat het certificaat vertrouwd kan worden.

Over client gesproken, wat voor foutmelding komt daar naar voren bij het proberen? Met SSL/STARTTLS uiteraard.

Je privacy is voor het eerst geschonden bij de eerste echo. Daarna wordt het er de rest van je leven niet meer beter op.

vrijdag 20 februari 2015 14:17

Acties:
  • 0 Henk 'm!
  • Thc_Nbl
  • Registratie: Juli 2001
  • Laatst online: 21-05 22:24

Thc_Nbl

de oplossing is simpel.

maak een bestandje aan in /etc/postfix
b.v.
smtpd_discard_ehlo_keywords_address

zet er in :
ipnummer STARTTLS

postconf -e 'smtpd_discard_ehlo_keyword_address_maps = cidr:/etc/postfix/smtpd_discard_ehlo_keywords_address'

en reload postfix

( zie ook : http://www.postfix.org/po...ehlo_keyword_address_maps )

Dit gebeurd dus met "foute/buggie" client/servers die tls/ssl willen opzetten.
tijdens de handshake van ssl/tls komt er een melding van de verzendende server die een disconnect stuurt, dat gebeurd dus als de handshake nog bezig is.

[ Voor 37% gewijzigd door Thc_Nbl op 20-02-2015 14:27 ]

ehhh.. noppes

vrijdag 20 februari 2015 14:42

Acties:
  • 0 Henk 'm!
  • Synch
  • Registratie: November 2006
  • Laatst online: 09:36

Synch

Topicstarter
Oke, wat ik sowieso ga doen is langzamerhand alles overzetten naar debian 7 omdat ik nu een open-ssl versie draai uit 2010.
Thc_Nbl schreef op vrijdag 20 februari 2015 @ 14:17:
de oplossing is simpel.

maak een bestandje aan in /etc/postfix
b.v.
smtpd_discard_ehlo_keywords_address

zet er in :
ipnummer STARTTLS

postconf -e 'smtpd_discard_ehlo_keyword_address_maps = cidr:/etc/postfix/smtpd_discard_ehlo_keywords_address'

en reload postfix

( zie ook : http://www.postfix.org/po...ehlo_keyword_address_maps )

Dit gebeurd dus met "foute/buggie" client/servers die tls/ssl willen opzetten.
tijdens de handshake van ssl/tls komt er een melding van de verzendende server die een disconnect stuurt, dat gebeurd dus als de handshake nog bezig is.
Betekend dit dat ik effectief StartTLS blokkeer? Ik volg niet helemaal wat dit doet.

vrijdag 20 februari 2015 16:20

Acties:
  • 0 Henk 'm!
  • Thc_Nbl
  • Registratie: Juli 2001
  • Laatst online: 21-05 22:24

Thc_Nbl

nee, wat je met deze instelling doet, is voor dat ipnummer de melding geven dat hij geen STARTTLS meer krijg, waardoor deze geen ssl meer aanbied en er in ieder geval mail binnenkomt.

deze : 'smtpd_discard_ehlo_keyword_address_maps
kan je lezen als :
smtpd discard helo keword voor adres.


het is trouwens wel verstandig om je squeeze naar wheezy te upgraden.

de openssl versie in squeeze kan niet zoveel hebben qua crypters.

en wat je ook nog kan proberen is deze instelling.
tls_medium_cipherlist=aNULL+AES128:aRSA+AES128:RC4-SHA:@STRENGTH
## fix the TLS with exchange 2003 and lower

alleen weet ik even niet of deze goed gaat op squeeze, dat is een questie van even proberen.

dit is mijn hele set tls/ssl op wheezy.

smtpd_enforce_tls = no
smtp_tls_mandatory_protocols = medium
tls_medium_cipherlist=aNULL+AES128:aRSA+AES128:RC4-SHA:@STRENGTH
## line above this fix the TLS with exchange 2003 and lower

smtp_tls_protocols = !SSLv2,!SSLv3
smtp_tls_security_level = may
smtp_tls_note_starttls_offer = yes
smtpd_tls_eecdh_grade = strong
#smtpd_tls_cipherlist =
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtpd_tls_ask_ccert = yes
smtpd_tls_ccert_verifydepth = 2
smtpd_tls_security_level = may
smtpd_tls_always_issue_session_ids = no
smtpd_tls_auth_only = yes
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_starttls_timeout = 300s
tls_random_source = dev:/dev/urandom

om je web server eens te controleren kan je hier eens kijken. Ik ging van B naar A+ ;-)
https://www.ssllabs.com/ssltest/

ehhh.. noppes

zaterdag 28 februari 2015 17:52

Acties:
  • 0 Henk 'm!
  • Thapous
  • Registratie: Mei 2006
  • Nu online

Thapous

Nee toch niet.

Wij hebben veel problemen gezien met de combi Apple mail en ssl. Als je een foutmelding krijgt in apple mail klik je niet op verbinden, maar op toon certificaat en daar geef je aan het certificaat altijd vertrouwt moet worden.

//Thapous

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq