Re: [FRnOG] [TECH] comportement etrange smtp orange et starttls
Bonjour, J'ai un contact dans cette académie (à l'époque je leur avais installé TrendMicro IMSVA). Je leur transmets l'information, pour savoir s'ils sont bien à jour, déjà. Le 16/01/2022 à 16:48, Juan Isoza a écrit : Une variante pour les domaines ac-orleans-tour.fr et trendmicro.com; je lance openssl s_client -connect mx1.ac-orleans-tours.fr:25 -starttls smtp openssl s_client -connect sjdc-itpf-03.udc.trendmicro.com:25 -starttls smtp Sous Ubuntu 18.04 ou Debian 10, les 2 domaines fonctionnent (avec TLS1.2 et en sélecitonnant un cipher moderne : DHE-RSA-AES256-GCM-SHA384) Sous Centos 8.4, seul trendmicro fonctionne Sous Ubuntu 20.04 ou Debian 11; les 2 domaines sont refusé Tous ces systèmes on des versions openssl basée sur la 1.1.1 Pour ac-orleans-tour, le message suivant apparait: 140117515637376:error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small:../ssl/statem/statem_clnt.c:2149: J'aimerais comprendre, et éventuellement savoir si on doit écrire aux postmaster... Merci et bonne année! Le ven. 17 avr. 2020 à 01:29, Vincent Tondellier a écrit : Bonsoir, Le Friday 17 April 2020 01:16:09 Juan Isoza a écrit : j'essaye avec plusieurs OS (essentiellement des variantes de linux) openssl s_client -starttls smtp -connect smtp-in.orange.fr:25 ha orange ... Il n'y aurait pas un gros message "SSL routines:ssl_choose_client_version:unsupported protocol" ? Ca donne quoi avec l'option -tls1 ? avec une collection de openssl 1.1.0 ou 1.1.1 la moitier connectent, l'autre pas... Cette moitié, c'est pas Debian et dérivés, par hasard ? orange ne supporte QUE TLSv1 (oui, en 2020), mais Debian a désactivé par défaut ce vieux protocole, obsolète, qui ne devrait plus être utilisé et "en danger critique d'extinction" vu que les navigateurs web l'ont (ou vont) le supprimer. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] comportement etrange smtp orange et starttls
Piste à la fin de https://stackoverflow.com/questions/36417224/openssl-dh-key-too-small-error Le passage à CipherString = DEFAULT@SECLEVEL=1 dans le fichier de configuration openssl permet de se connecter. Mais c'est quand même un peu dommage que TrendMicro soit aussi mal configuré! Bonne année! Le dim. 16 janv. 2022 à 16:48, Juan Isoza a écrit : > > Une variante pour les domaines ac-orleans-tour.fr et trendmicro.com; je > lance > > openssl s_client -connect mx1.ac-orleans-tours.fr:25 -starttls smtp > > openssl s_client -connect sjdc-itpf-03.udc.trendmicro.com:25 -starttls smtp > > > Sous Ubuntu 18.04 ou Debian 10, les 2 domaines fonctionnent (avec TLS1.2 > et en sélecitonnant un cipher moderne : DHE-RSA-AES256-GCM-SHA384) > Sous Centos 8.4, seul trendmicro fonctionne > Sous Ubuntu 20.04 ou Debian 11; les 2 domaines sont refusé > Tous ces systèmes on des versions openssl basée sur la 1.1.1 > > Pour ac-orleans-tour, le message suivant apparait: > > 140117515637376:error:141A318A:SSL routines:tls_process_ske_dhe:dh key too > small:../ssl/statem/statem_clnt.c:2149: > > > J'aimerais comprendre, et éventuellement savoir si on doit écrire aux > postmaster... > > Merci et bonne année! > > Le ven. 17 avr. 2020 à 01:29, Vincent Tondellier < > tonton+fr...@team1664.org> a écrit : > >> Bonsoir, >> >> Le Friday 17 April 2020 01:16:09 Juan Isoza a écrit : >> > j'essaye avec plusieurs OS (essentiellement des variantes de linux) >> > >> > openssl s_client -starttls smtp -connect smtp-in.orange.fr:25 >> >> ha orange ... >> >> Il n'y aurait pas un gros message "SSL >> routines:ssl_choose_client_version:unsupported protocol" ? >> >> Ca donne quoi avec l'option -tls1 ? >> >> > avec une collection de openssl 1.1.0 ou 1.1.1 >> > >> > la moitier connectent, >> >> >> > l'autre pas... >> >> Cette moitié, c'est pas Debian et dérivés, par hasard ? >> >> orange ne supporte QUE TLSv1 (oui, en 2020), mais Debian a désactivé par >> défaut ce vieux protocole, obsolète, qui ne devrait plus être utilisé et >> "en >> danger critique d'extinction" vu que les navigateurs web l'ont (ou vont) >> le >> supprimer. >> > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] comportement etrange smtp orange et starttls
Une variante pour les domaines ac-orleans-tour.fr et trendmicro.com; je lance openssl s_client -connect mx1.ac-orleans-tours.fr:25 -starttls smtp openssl s_client -connect sjdc-itpf-03.udc.trendmicro.com:25 -starttls smtp Sous Ubuntu 18.04 ou Debian 10, les 2 domaines fonctionnent (avec TLS1.2 et en sélecitonnant un cipher moderne : DHE-RSA-AES256-GCM-SHA384) Sous Centos 8.4, seul trendmicro fonctionne Sous Ubuntu 20.04 ou Debian 11; les 2 domaines sont refusé Tous ces systèmes on des versions openssl basée sur la 1.1.1 Pour ac-orleans-tour, le message suivant apparait: 140117515637376:error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small:../ssl/statem/statem_clnt.c:2149: J'aimerais comprendre, et éventuellement savoir si on doit écrire aux postmaster... Merci et bonne année! Le ven. 17 avr. 2020 à 01:29, Vincent Tondellier a écrit : > Bonsoir, > > Le Friday 17 April 2020 01:16:09 Juan Isoza a écrit : > > j'essaye avec plusieurs OS (essentiellement des variantes de linux) > > > > openssl s_client -starttls smtp -connect smtp-in.orange.fr:25 > > ha orange ... > > Il n'y aurait pas un gros message "SSL > routines:ssl_choose_client_version:unsupported protocol" ? > > Ca donne quoi avec l'option -tls1 ? > > > avec une collection de openssl 1.1.0 ou 1.1.1 > > > > la moitier connectent, > > > > l'autre pas... > > Cette moitié, c'est pas Debian et dérivés, par hasard ? > > orange ne supporte QUE TLSv1 (oui, en 2020), mais Debian a désactivé par > défaut ce vieux protocole, obsolète, qui ne devrait plus être utilisé et > "en > danger critique d'extinction" vu que les navigateurs web l'ont (ou vont) > le > supprimer. > --- Liste de diffusion du FRnOG http://www.frnog.org/
