Вопросы Теги

Соединение TLS IMAP к сбоям Голубятни

Оригинальное название: связь IMAP с Голубятней прерывается только от Thunderbird

Я настроил Голубятню с SSL (TLS) на порте 993. Я могу соединиться с Outlook, PHP SMTP и Почта Android, однако Thunderbird не соединяется. Это говорит Configuration could not be verified - is the username or password wrong?. Журнал ошибок Голубятни показывает это:

Jan 05 22:41:45 imap-login: Warning: SSL: where=0x10, ret=1: before/accept initialization [1.2.3.4]
Jan 05 22:41:45 imap-login: Warning: SSL: where=0x2001, ret=1: before/accept initialization [1.2.3.4]
Jan 05 22:41:45 imap-login: Warning: SSL alert: where=0x4008, ret=598: fatal unknown [1.2.3.4]
Jan 05 22:41:45 imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client hello C [1.2.3.4]
Jan 05 22:41:45 imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client hello C [1.2.3.4]
Jan 05 22:41:45 imap-login: Info: Disconnected (no auth attempts in 0 secs): user=<>, rip=1.2.3.4, lip=4.5.6.7, TLS handshaking: SSL_accept() failed: error:140A1175:SSL routines:SSL_BYTES_TO_CIPHER_LIST:inappropriate fallback, session=<yDs4Z48DudCBhYne>

Я отключил SSLv2 и SSLv3 в 10-ssl.conf:

ssl_protocols = !SSLv2 !SSLv3
ssl_cipher_list = ALL:!LOW:!SSLv2:!EXP:!aNULL

Какова проблема может быть? Это хорошо работает во всех других почтовых клиентах, которые я попробовал, который является, почему это немного странно.

3
задан 6 January 2015 в 01:31
1 ответ

Первым делом я бы обновил клиент .

Здесь происходит попытка понижения версии протокола. То есть клиент пытается перейти с TLSv1 на SSLv3 или с любой более высокой версии TLS на более низкую версию. (Именно это не ясно из журналов, и для этого потребуется более подробная отладка OpenSSL, но эта конкретная деталь на самом деле не имеет значения.)

Причина, по которой переход на более раннюю версию протокола не выполняется, заключается в том, что на вашем сервере есть предотвращение перехода на более раннюю версию протокола. (TLS_FALLBACK_SCSV) включен в качестве защиты от атаки POODLE.

Итак, первое, что нужно проверить, это убедиться, что клиент обновлен; это означает как минимум Thunderbird и поддерживающие его библиотеки.

После этого я бы проверил список протоколов. Меня беспокоит, что вы явно не указали TLSv1, TLSv1.1 и TLSv1.2. Хотя это не должно иметь значения, поскольку они должны быть включены по умолчанию, это может помочь. 

ssl_protocols = TLSv1.2 TLSv1.1 TLSv1 !SSLv3 !SSLv2

Наконец, есть редкая возможность, что вы поймали кого-то, пытающегося атаковать ваше соединение, и атака была предотвращена.

6
ответ дан 3 December 2019 в 05:25

Теги

Похожие вопросы