înregistrare Logare
Puncte:1
Tristan avatar Server

Postfix - conexiune pierdută după STARTTLS - eroare SSL_accept de la necunoscut

drapel ke
Tristan

Am configurat un server de e-mail pe VPS-ul meu Debian 10 cu Postfix și Dovecot. Pot trimite e-mail și pot primi e-mail de la unele servere, dar nu de la toate.

Când îmi testez serverul de mail la internet.nl Primesc următorul mesaj:

introduceți descrierea imaginii aici

The mail.log arată următoarele:

26 dec 21:01:20 mail postfix/smtpd[24531]: conexiune pierdută după STARTTLS de la internet.nl[62.204.66.10]
Dec 26 21:01:20 mail postfix/smtpd[24531]: deconectează-te de la internet.nl[62.204.66.10] ehlo=1 starttls=0/1 comenzi=1/2
26 decembrie 21:01:20 mail postfix/smtpd[24531]: conectați-vă de la internet.nl[62.204.66.10]
26 decembrie 21:01:20 mail postfix/smtpd[24531]: eroare SSL_accept de la internet.nl[62.204.66.10]: -1
26 decembrie 21:01:20 e-mail postfix/smtpd[24531]: avertisment: problema bibliotecii TLS: eroare:142090FC:rutine SSL:tls_early_post_process_client_hello:protocol necunoscut:../ssl/statem/statem_srvr.c:1

postconf -n contine aceasta:

append_dot_mydomain = nr
biff = nu
bounce_queue_lifetime = 1h
disable_vrfy_command = da
inet_interfaces = 127.0.0.1, ::1, ***, ***::1
local_recipient_maps = $virtual_mailbox_maps
cutie_poștală_size_limit = 0
timp_de_retragere_maximum = 15m
maximal_queue_lifetime = 1h
limită_dimensiunea mesajului = 52428800
milter_default_action = accept
milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}
milter_protocol = 6
minim_backoff_time = 5m
mua_client_restrictions = permit_mynetworks,permit_sasl_authenticated,reject
mua_relay_restrictions = reject_non_fqdn_recipient,reject_unknown_recipient_domain,permit_mynetworks,permit_sasl_authenticated,reject
mua_sender_restrictions = permit_mynetworks,reject_non_fqdn_sender,reject_sender_login_mismatch,permit_sasl_authenticated,reject
myhostname = mail.***.com
rețelele mele = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
non_smtpd_milters = inet:localhost:11332
proxy_read_maps = proxy:mysql:/etc/postfix/sql/aliases.cf proxy:mysql:/etc/postfix/sql/accounts.cf proxy:mysql:/etc/postfix/sql/domains.cf proxy:mysql:/etc /postfix/sql/recipient-access.cf proxy:mysql:/etc/postfix/sql/sender-login-maps.cf proxy:mysql:/etc/postfix/sql/tls-policy.cf
queue_run_delay = 5m
destinatar_delimiter = +
smtp_dns_support_level = dnssec
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_ciphers = mediu
smtp_tls_policy_maps = proxy:mysql:/etc/postfix/sql/tls-policy.cf
smtp_tls_security_level = dane
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_client_restrictions = permit_mynetworks check_client_access hash:/etc/postfix/without_ptr reject_unknown_client_hostname
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_helo_required = da
smtpd_helo_restrictions = permit_mynetworks reject_invalid_helo_hostname reject_non_fqdn_helo_hostname reject_unknown_helo_hostname
smtpd_milters = inet:localhost:11332
smtpd_recipient_restrictions = check_recipient_access proxy:mysql:/etc/postfix/sql/recipient-access.cf
smtpd_relay_restrictions = reject_non_fqdn_recipient reject_unknown_recipient_domain permit_mynetworks reject_unauth_destination
smtpd_tls_auth_only = da
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.***.com/fullchain.pem
smtpd_tls_ciphers = mediu
smtpd_tls_dh1024_param_file = /etc/postfix/dh4096.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.***.com/privkey.pem
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_security_level = mai
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHACHA256-GCM-SHACHA384:-ECDSA-SHA256-GCM-SHA384 ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
tls_preempt_cipherlist = da
tls_ssl_options = NO_RENEGOCIARE
virtual_alias_maps = proxy:mysql:/etc/postfix/sql/aliases.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/sql/domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/sql/accounts.cf
virtual_transport = lmtp:unix:private/dovecot-lmtp

Puteți găsi main.cf complet aici: https://pastebin.com/TnDhUZka

Presupun că serverul meu blochează unele TLS, am încercat și câteva metode și am căutat și pe serverfault - cu toate acestea, niciuna dintre ele nu m-a ajutat până acum.

335
0 + 0
Ginnungagap avatar
drapel gu
Ginnungagap
internet.nl va testa mai multe versiuni TLS. OpenSSL a renunțat la suportul pentru SSLv2/3, așa că a avea o versiune necunoscută în jurnale nu este o problemă în sine. Poate aveți o configurație fail2ban prea agresivă?
0
Răspunde
Tristan avatar
drapel ke
Tristan
@Ginnungagap Vă mulțumim pentru răspuns, am dezactivat și SSLv2 și SSLv3, deoarece este nesigur. Sunt doar surprins că internet.nl complet cu STARTTLS arată eroarea.Subverificările nu sunt executate deloc. fail2ban nu am instalat/configurat.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.