Оригинальное название: связь IMAP с Голубятней прерывается только от Thunderbird
Я настроил Голубятню с SSL (TLS) на порте 993. Я могу соединиться с Outlook, PHP SMTP и Почта Android, однако Thunderbird не соединяется. Это говорит Configuration could not be verified - is the username or password wrong?
. Журнал ошибок Голубятни показывает это:
Jan 05 22:41:45 imap-login: Warning: SSL: where=0x10, ret=1: before/accept initialization [1.2.3.4]
Jan 05 22:41:45 imap-login: Warning: SSL: where=0x2001, ret=1: before/accept initialization [1.2.3.4]
Jan 05 22:41:45 imap-login: Warning: SSL alert: where=0x4008, ret=598: fatal unknown [1.2.3.4]
Jan 05 22:41:45 imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client hello C [1.2.3.4]
Jan 05 22:41:45 imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client hello C [1.2.3.4]
Jan 05 22:41:45 imap-login: Info: Disconnected (no auth attempts in 0 secs): user=<>, rip=1.2.3.4, lip=4.5.6.7, TLS handshaking: SSL_accept() failed: error:140A1175:SSL routines:SSL_BYTES_TO_CIPHER_LIST:inappropriate fallback, session=<yDs4Z48DudCBhYne>
Я отключил SSLv2 и SSLv3 в 10-ssl.conf:
ssl_protocols = !SSLv2 !SSLv3
ssl_cipher_list = ALL:!LOW:!SSLv2:!EXP:!aNULL
Какова проблема может быть? Это хорошо работает во всех других почтовых клиентах, которые я попробовал, который является, почему это немного странно.
Первым делом я бы обновил клиент .
Здесь происходит попытка понижения версии протокола. То есть клиент пытается перейти с TLSv1 на SSLv3 или с любой более высокой версии TLS на более низкую версию. (Именно это не ясно из журналов, и для этого потребуется более подробная отладка OpenSSL, но эта конкретная деталь на самом деле не имеет значения.)
Причина, по которой переход на более раннюю версию протокола не выполняется, заключается в том, что на вашем сервере есть предотвращение перехода на более раннюю версию протокола. (TLS_FALLBACK_SCSV) включен в качестве защиты от атаки POODLE.
Итак, первое, что нужно проверить, это убедиться, что клиент обновлен; это означает как минимум Thunderbird и поддерживающие его библиотеки.
После этого я бы проверил список протоколов. Меня беспокоит, что вы явно не указали TLSv1, TLSv1.1 и TLSv1.2. Хотя это не должно иметь значения, поскольку они должны быть включены по умолчанию, это может помочь.
ssl_protocols = TLSv1.2 TLSv1.1 TLSv1 !SSLv3 !SSLv2
Наконец, есть редкая возможность, что вы поймали кого-то, пытающегося атаковать ваше соединение, и атака была предотвращена.