[Exim-users] Проблема с TLS
Здравствуйте! Появилась проблема с доставкой писем серверам с Mdaemon разных версий. Система 8.4-RELEASE-p4, exim - exim-4.80.1_2, openssl-1.0.1_8. Exim собран с поддержкой TLS (правда он был изначально версии 4.63, portupgarde-ом обновлялся). При достаки проблемным серверам, ошибка одной строкой: Remote host XX [] closed connection in response to EHLO XXX В лог Mdaemon, обрывается соединение после строчки STARTTLS. Отправил письмо тестовое через другой exim (предустановленый cPanel), письмо ушло, и присутствует строчка в логах X=TLSv1:RC4-MD5:128. Пока временно прописал саписок ip в hosts_avoid_tls, и письма уходят, но это не решение. Не подскажете куда надо рыть, что проверить? Спасибо. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Проблема с TLS
Там по дороге, часом, никто ESMTP команды не режет? Некоторые особо одаренные кошководы иногда включают такой режим. Проверьте телнетом. On 12 Nov 2013, at 13:01, Володимир Рибак v...@nbi.ua wrote: Здравствуйте! Появилась проблема с доставкой писем серверам с Mdaemon разных версий. Система 8.4-RELEASE-p4, exim - exim-4.80.1_2, openssl-1.0.1_8. Exim собран с поддержкой TLS (правда он был изначально версии 4.63, portupgarde-ом обновлялся). При достаки проблемным серверам, ошибка одной строкой: Remote host XX [] closed connection in response to EHLO XXX В лог Mdaemon, обрывается соединение после строчки STARTTLS. Отправил письмо тестовое через другой exim (предустановленый cPanel), письмо ушло, и присутствует строчка в логах X=TLSv1:RC4-MD5:128. Пока временно прописал саписок ip в hosts_avoid_tls, и письма уходят, но это не решение. Не подскажете куда надо рыть, что проверить? Спасибо. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Проблема с TLS
да нет, это исключено, на другие сервера идет нормально. On Tue, Nov 12, 2013 at 01:09:52PM +0200, Igor Karpov wrote: Там по дороге, часом, никто ESMTP команды не режет? Некоторые особо одаренные кошководы иногда включают такой режим. Проверьте телнетом. On 12 Nov 2013, at 13:01, Володимир Рибак v...@nbi.ua wrote: Здравствуйте! Появилась проблема с доставкой писем серверам с Mdaemon разных версий. Система 8.4-RELEASE-p4, exim - exim-4.80.1_2, openssl-1.0.1_8. Exim собран с поддержкой TLS (правда он был изначально версии 4.63, portupgarde-ом обновлялся). При достаки проблемным серверам, ошибка одной строкой: Remote host XX [] closed connection in response to EHLO XXX В лог Mdaemon, обрывается соединение после строчки STARTTLS. Отправил письмо тестовое через другой exim (предустановленый cPanel), письмо ушло, и присутствует строчка в логах X=TLSv1:RC4-MD5:128. Пока временно прописал саписок ip в hosts_avoid_tls, и письма уходят, но это не решение. Не подскажете куда надо рыть, что проверить? Спасибо. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Проблема с TLS
Там на удаленном сервере дата может быть неправильно выставлена. Есть еще вот такая шняга: http://exim.org/exim-html-4.50/doc/html/spec_38.html#SECT38.8 --- Исходное сообщение --- От кого: Володимир Рибак v...@nbi.ua Дата: 12 ноября 2013, 13:33:51 да нет, это исключено, на другие сервера идет нормально. On Tue, Nov 12, 2013 at 01:09:52PM +0200, Igor Karpov wrote: Там по дороге, часом, никто ESMTP команды не режет? Некоторые особо одаренные кошководы иногда включают такой режим. Проверьте телнетом. On 12 Nov 2013, at 13:01, Володимир Рибак v...@nbi.ua wrote: Здравствуйте! Появилась проблема с доставкой писем серверам с Mdaemon разных версий. Система 8.4-RELEASE-p4, exim - exim-4.80.1_2, openssl-1.0.1_8. Exim собран с поддержкой TLS (правда он был изначально версии 4.63, portupgarde-ом обновлялся). При достаки проблемным серверам, ошибка одной строкой: Remote host XX [] closed connection in response to EHLO XXX В лог Mdaemon, обрывается соединение после строчки STARTTLS. Отправил письмо тестовое через другой exim (предустановленый cPanel), письмо ушло, и присутствует строчка в логах X=TLSv1:RC4-MD5:128. Пока временно прописал саписок ip в hosts_avoid_tls, и письма уходят, но это не решение. Не подскажете куда надо рыть, что проверить? Спасибо. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Проблема с TLS
Появилась проблема с доставкой писем серверам с Mdaemon разных версий. Система 8.4-RELEASE-p4, exim - exim-4.80.1_2, openssl-1.0.1_8. Exim собран с поддержкой TLS (правда он был изначально версии 4.63, portupgarde-ом обновлялся). При достаки проблемным серверам, ошибка одной строкой: Remote host XX [] closed connection in response to EHLO XXX В лог Mdaemon, обрывается соединение после строчки STARTTLS. В архиве /usr/ports/distfiles/exim/exim-4.80.1.tar.bz2 файл exim-4.80.1/README.UPDATING , в нем: COMPATIBILITY WARNING: The default value of openssl_options is no longer +dont_insert_empty_fragments. We default to +no_sslv2. That old default was grandfathered in from before openssl_options became a configuration option. Empty fragments are inserted by default through TLS1.0, to partially defend against certain attacks; TLS1.1+ change the protocol so that this is not needed. The DIEF SSL option was required for some old releases of mail clients which did not gracefully handle the empty fragments, and was initially set in Exim release 4.31 (see ChangeLog, item 37). If you still have affected mail-clients, and you see SSL protocol failures with this release of Exim, set: openssl_options = +dont_insert_empty_fragments in the main section of your Exim configuration file. You're trading off security for compatibility. Exim is now defaulting to higher security and rewarding more modern clients. Попробуйте: openssl_options = +dont_insert_empty_fragments Вот еще что писал разработчик Exim: Next, a value of +all might help, which turns on all bug compatibility fixes (with the combined security costs of all of them together). The +tls_rollback_bug setting looks like it *might* apply here. If +legacy_server_connect fixes it, then we're doing something wrong with options setting, since OpenSSL should have that on by default and we'd be clearing it inadvertently. Ну и отлаживать нужно, диагностику включить: запустить передачу тестового письма проблемному серверу-получателю, дав команду exim с опцией d и перенаправив stdin с файла с письмом. Кажется, вот тут есть пример отладки: https://lists.exim.org/lurker/thread/20131110.124110.fba444f0.en.html Еще попробуйте соединиться с проблемным сервером-получателем командой openssl s_client -starttls smtp -connect 1.2.3.4:25 ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Проблема с TLS
openssl_options = +dont_insert_empty_fragments - это решило проблему, письмо ушло без ошибок. Спасибо. On Tue, Nov 12, 2013 at 02:17:26PM +0200, l...@lena.kiev.ua wrote: Появилась проблема с доставкой писем серверам с Mdaemon разных версий. Система 8.4-RELEASE-p4, exim - exim-4.80.1_2, openssl-1.0.1_8. Exim собран с поддержкой TLS (правда он был изначально версии 4.63, portupgarde-ом обновлялся). При достаки проблемным серверам, ошибка одной строкой: Remote host XX [] closed connection in response to EHLO XXX В лог Mdaemon, обрывается соединение после строчки STARTTLS. В архиве /usr/ports/distfiles/exim/exim-4.80.1.tar.bz2 файл exim-4.80.1/README.UPDATING , в нем: COMPATIBILITY WARNING: The default value of openssl_options is no longer +dont_insert_empty_fragments. We default to +no_sslv2. That old default was grandfathered in from before openssl_options became a configuration option. Empty fragments are inserted by default through TLS1.0, to partially defend against certain attacks; TLS1.1+ change the protocol so that this is not needed. The DIEF SSL option was required for some old releases of mail clients which did not gracefully handle the empty fragments, and was initially set in Exim release 4.31 (see ChangeLog, item 37). If you still have affected mail-clients, and you see SSL protocol failures with this release of Exim, set: openssl_options = +dont_insert_empty_fragments in the main section of your Exim configuration file. You're trading off security for compatibility. Exim is now defaulting to higher security and rewarding more modern clients. Попробуйте: openssl_options = +dont_insert_empty_fragments Вот еще что писал разработчик Exim: Next, a value of +all might help, which turns on all bug compatibility fixes (with the combined security costs of all of them together). The +tls_rollback_bug setting looks like it *might* apply here. If +legacy_server_connect fixes it, then we're doing something wrong with options setting, since OpenSSL should have that on by default and we'd be clearing it inadvertently. Ну и отлаживать нужно, диагностику включить: запустить передачу тестового письма проблемному серверу-получателю, дав команду exim с опцией d и перенаправив stdin с файла с письмом. Кажется, вот тут есть пример отладки: https://lists.exim.org/lurker/thread/20131110.124110.fba444f0.en.html Еще попробуйте соединиться с проблемным сервером-получателем командой openssl s_client -starttls smtp -connect 1.2.3.4:25 ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users