înregistrare Logare
Puncte:1
xdnroot avatar Server

IMAP and SMTP Still use Self Signed SSL even I have issued a Mail Server SSL in Cyberpanel

drapel iq
xdnroot

I using cyberpanel on CentOS 7 and I setup SSL for my postfix and dovecot. But I still got "SSL Invalid" caused the self-signed SSL even I have configure SSL using Lets Encrypt.

This is /etc/postfix/main.cf

smtpd_tls_cert_file = /etc/letsencrypt/live/mail.domain.net/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.domain.net/privkey.pem

This is /etc/dovecot/dovecot.conf

ssl_cert = </etc/letsencrypt/live/mail.domain.net/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.domain.net/privkey.pem
....
local_name mail.domain.net {
        ssl_cert = </etc/letsencrypt/live/mail.domain.net/fullchain.pem
        ssl_key = </etc/letsencrypt/live/mail.domain.net/privkey.pem
}

local_name mail.sub.domain.net {
        ssl_cert = </etc/letsencrypt/live/mail.sub.domain.net/fullchain.pem
        ssl_key = </etc/letsencrypt/live/mail.sub.domain.net/privkey.pem
}

This is /etc/dovecot/conf.d/10-ssl.conf

ssl = required
ssl_cert = </etc/letsencrypt/live/mail.domain.net/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.domain.net/privkey.pem

All file has pointed to correct SSL file. However, when I was trying to login IMAP and SMTP using SSL, I got error: SSL Invalid caused self-signed certificate www.example.com (not mail.domain.net).

When I check using command: openssl s_client -servername mail.domain.net -connect mail.domain.net:993

CONNECTED(00000003)
depth=0 C = US, ST = Denial, L = Springfield, O = Dis, CN = www.example.com
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = Denial, L = Springfield, O = Dis, CN = www.example.com
verify return:1
---
Certificate chain
 0 s:/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com
   i:/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com
---
Server certificate
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
subject=/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com
issuer=/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1590 bytes and written 441 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 88F2CCFDE63FE391E9824F596E0C8300E44CB306F969E2A1C0AFE3B75E5A4D74
    Session-ID-ctx: 
    Master-Key: E22198E25F15AA193B9E73446CB934276DF90987DFC75B1B74DDAF3247CA8436CDB93B3274102188B3470DF1A4EFB0D1
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - e6 78 ae 14 e1 04 0d b4-64 82 65 9e 14 ad 32 9c   .x......d.e...2.
    0010 - f3 f0 c2 fd f9 12 5b bf-0f 50 75 79 64 5c bb ba   ......[..Puyd\..
    0020 - 31 f6 37 bd 1c b2 e7 dc-d9 02 c7 53 f4 f9 0c a6   1.7........S....
    0030 - d4 51 6a 60 6b 34 04 41-fd b3 7d 53 14 ff 1d b4   .Qj`k4.A..}S....
    0040 - a2 82 67 6e da d7 80 02-b0 9f 6d 82 b4 17 72 cf   ..gn......m...r.
    0050 - 30 05 54 fc 8c be 60 6d-e5 0f b8 25 04 f3 43 6d   0.T...`m...%..Cm
    0060 - 7e 13 f1 85 02 03 90 a2-50 82 64 43 aa 79 b8 ee   ~.......P.dC.y..
    0070 - 86 08 ef 7a ac 4b c7 86-57 bc 09 a4 9a bb 23 92   ...z.K..W.....#.
    0080 - cb 18 74 a4 90 c5 b1 8b-39 3c cc 69 ee e8 fb 08   ..t.....9<.i....
    0090 - 60 93 ea 17 35 d5 58 0d-ee 1b 68 c2 98 d0 e9 9c   `...5.X...h.....
    00a0 - f5 a7 24 9b 29 0a 48 6b-70 f8 a5 9a 7c e5 e8 88   ..$.).Hkp...|...

    Start Time: 1624855926
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
+OK Dovecot ready.

This is log on mail server. systemctl status postfix -l

230, TLS handshaking: SSL_accept() failed: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown: SSL alert number 46, session=<RLYR5sLFeh62/Xx7>
Jun 28 00:42:37 mail-domain-net dovecot[574952]: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=182.253.XXX.XXX, lip=10.5.224.230, TLS handshaking: SSL_accept() failed: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown: SSL alert number 46, session=<WF4U5sLFlym2/Xx7>
Jun 28 00:42:38 mail-domain-net dovecot[574952]: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=182.253.XXX.XXX, lip=10.5.224.230, TLS handshaking: SSL_accept() failed: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown: SSL alert number 46, session=<nasX5sLFoim2/Xx7>
Jun 28 00:42:38 mail-domain-net dovecot[574952]: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=182.253.XXX.XXX, lip=10.5.224.230, TLS handshaking: SSL_accept() failed: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown: SSL alert number 46, session=<BFYY5sLFrCm2/Xx7>
Jun 28 00:42:38 mail-domain-net dovecot[574952]: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=182.253.XXX.XXX, lip=10.5.224.230, TLS handshaking: SSL_accept() failed: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown: SSL alert number 46, session=<YQkZ5sLFrSm2/Xx7>

Please help me, which file or config should I check.

1299
1 + 10
drapel jp
Dom
Unde vezi în jurnale problema autosemnată? Văd un client în SSLv3, care ar trebui interzis ca tehnologie învechită
1
Răspunde
vidarlo avatar
drapel ar
vidarlo
Ați repornit dovecot și postfix după actualizarea certificatului? Care este rezultatul lui `openssl s_client -starttls smtp -showcerts -connect mail.domain.net:25`? Dacă nu redactați domenii, oamenii de aici pot face astfel de verificări pentru dvs. și vă pot oferi un răspuns...
0
Răspunde
djdomi avatar
drapel za
djdomi
ssl_cert =
0
Răspunde
xdnroot avatar
drapel iq
xdnroot
@Dom Am văzut acea eroare în aplicațiile GMAIL și în biblioteca python imaplib.
0
Răspunde
xdnroot avatar
drapel iq
xdnroot
@vidarlo da, am repornit dovecot și postfix după actualizare config și certificat. Cu toate acestea, ieșirea lui openssl s_client -starttls smtp -showcerts -connect mail.domain.net:25 încă folosește www.example.com (certificat autosemnat).
0
Răspunde
xdnroot avatar
drapel iq
xdnroot
@djdomi da, ce e în neregulă cu asta?
0
Răspunde
djdomi avatar
drapel za
djdomi
@xdnroot `ssl_cert = *
0
Răspunde
xdnroot avatar
drapel iq
xdnroot
@djdomi Eu doar urmez formatul de configurare implicit și s-a confirmat în acest document: https://doc.dovecot.org/configuration_manual/dovecot_ssl_configuration/
0
Răspunde
djdomi avatar
drapel za
djdomi
comportament ciudat, nu am mai văzut așa ceva
0
Răspunde
Paul avatar
drapel cn
Paul
Ați încercat vreun suport CyberPanel?
0
Răspunde
Puncte:0
xdnroot avatar Server
drapel iq
xdnroot

Am rezolvat această problemă făcând următoarele lucruri:

1. Configurați înregistrarea PTR Solicit furnizorului de server să adauge înregistrarea PTR pentru adresa mea IP. Deci, când căutați IP-ul dvs., acesta va returna:

$ nslookup 116.193.250.253 130 ⨯
253.250.193.116.in-addr.arpa nume = mail.yourprimarymailserverdomain.com.
253.250.193.116.in-addr.arpa nume = mail.yoursecondarymailserverdomain.com.

Bine, am folosit două domenii pentru serverul meu de e-mail. Dacă încă primiți SSL autosemnat, mergeți la pasul 2.

2. Configurați manual Postfix și Dovecot.

Să presupunem că sunteți pe unele dintre versiunile vechi ale CyberPanel sau că ați creat deja un site web înainte de a face upgrade la v1.9.4. Puteți continua și crea mail.domain.com ca domeniu secundar pentru domeniul dvs. principal, de asemenea, asigurați-vă că emiteți SSL pentru acest domeniu.

Pasul 1: Deschideți fișierul /etc/postfix/main.cf folosind orice editor

sudo nano /etc/postfix/main.cf

Pasul 2: Comentați următoarele două rânduri din acel fișier adăugând semnul # la început.

# smtpd_tls_cert_file = /etc/pki/dovecot/certs/dovecot.pem 
# smtpd_tls_key_file = /etc/pki/dovecot/private/dovecot.pem

Pasul 3: Adăugați următoarele linii după modificare. Nu uitați să înlocuiți YourPrimaryMailServerDomain cu propriul domeniu.

# furnizați certificatul principal pentru server, care va fi utilizat pentru conexiunile de ieșire 
smtpd_tls_chain_files = /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/privkey.pem, /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/fullchain.pem

Pasul 4: Pentru a susține SNI, trebuie să adăugați următoarele rânduri la sfârșit

# furnizați harta pentru a fi utilizată atunci când suportul SNI este activat 
tls_server_sni_maps = hash:/etc/postfix/vmail_ssl.map

După toți pașii de mai sus, fișierele dvs. ar trebui să arate așa

# smtpd_tls_cert_file = /etc/pki/dovecot/certs/dovecot.pem
# smtpd_tls_key_file = /etc/pki/dovecot/private/dovecot.pem
# furnizați certificatul principal pentru server, care va fi utilizat pentru conexiunile de ieșire
smtpd_tls_chain_files = /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/privkey.pem, /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/fullchain.pem
# furnizați harta pentru a fi utilizată atunci când suportul SNI este activat
tls_server_sni_maps = hash:/etc/postfix/vmail_ssl.map

Pasul 5: Creați un fișier nou în /etc/postfix cu numele vmail_ssl.map

sudo touch /etc/postfix/vmail_ssl.map

Pasul 6: Editați fișierul pentru a adăuga certificatele SSL ale domeniului dvs. la listă, astfel

mail.yourprimarymailserverdomain.com /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/privkey.pem /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/fullchain.pem

Pasul 7 (Opțional): Dacă aveți mai multe domenii de acceptat, adăugați-le pe toate câte unul pe linie. Fișierul rezultat ar trebui să arate așa

# Compilați cu postmap -F hash:/etc/postfix/vmail_ssl.map când actualizați
# O gazdă pe linie
mail.yourprimarymailserverdomain.com /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/privkey.pem /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/fullchain.pem
mail.yoursecondarymailserverdomain.com /etc/letsencrypt/live/mail.yoursecondarymailserverdomain.com/privkey.pem /etc/letsencrypt/live/mail.yoursecondarymailserverdomain.com/fullchain.pem
# adăugați mai multe domenii cu chei și certificate după cum este necesar

Pasul 8: Deschideți /etc/dovecot/dovecot.conf

sudo nano /etc/dovecot/dovecot.conf

Pasul 9: Adăugați următoarele la sfârșitul fișierului, înlocuiți domain.com cu propriul dvs. domeniu.

nume_local mail.domain.com {
  ssl_cert = </etc/letsencrypt/live/mail.domain.com/fullchain.pem
  ssl_key = </etc/letsencrypt/live/mail.domain.com/privkey.pem
}

Pasul 10: Re-compilați harta postului cu SNI folosind următoarea comandă

postmap -F hash:/etc/postfix/vmail_ssl.map

Pasul 11: Reporniți Postfix.

systemctl restart postfix

Pasul 12: Reporniți Dovecot

systemctl reporniți dovecot

Conectați-vă din nou folosind un client de e-mail și nu ar trebui să vedeți eroarea.

Referinţă: https://cyberpanel.net/docs/6-self-signed-ssl-error-on-outlook-thunderbird/

Noroc. :)

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.