С недавними волнениями по ПУДЕЛЮ мы начали процесс изменения общих соединений с TLS вместо SSL...
В то время как этот процесс пошел гладко для HTTPS, кажется, что Голубятня и Постфиксное отклонение (или отбрасывание, скорее - так как попытки подключения испытывают таймаут), попытки почтовых клиентов соединиться по TLS---
Однако, когда я работаю:
openssl s_client -connect {our IP}:465 -tls1_2
//также на работах над 993
Это возвращается:
CONNECTED
[...]
New, TLSv1/SSLv3, Cipher is [...]
Server public key is 4096 bit
[...]
SSL-Session:
Protocol : TLSv1.2
[...]
В /etc/postfix/main.cf
, соответствующее чтение строк:
smtpd_use_tls = yes
[...]
smtpd_tls_security_level = may
smtpd_tls_auth_only = no
smtp_tls_note_starttls_offer = yes
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
В /etc/dovecot/${grep -l -R 'tls'}
- единственные соответствующие строки не прокомментированы:
ssl_cert = </etc/dovecot/dovecot.pem
ssl_key = </etc/dovecot/private/dovecot.pem
Который после рассмотрения остальной части файла я не уверен, как SSL когда-либо работал с Голубятней---, но это имеет-!
Я уверен, что у меня просто есть простое неверное толкование того, как это работает и что существует маленькая информация, которую я пропускаю, который отлично объяснит почему openssl s_client
показывает положительные результаты, в то время как ничто иное не может соединиться через TLS...
Так, я ценю Ваше понимание на этом -
Не все приложения обновлены до TLS 1.2. Мои журналы SMTP показывают примерно 50/50 между TLS 1.0 и TLS 1.2. Это, вероятно, преувеличивает принятие TLS 1.2, поскольку мои внутренние службы используют TLS 1.2.
Попробуйте запустить свои тесты с помощью -ssl3
, -tls1
и tls1_1
, а также -tls1_2
. На данный момент только -ssl3
должен завершиться ошибкой. Это должно позволить подключиться большинству современных клиентов.
Я отключил SSLV3 на своих серверах на прошлых выходных. Я запускаю Dovecot, Apache и Exim, поэтому у меня нет инструкций для Postfix. Для Dovecot я использовал:
ssl_protocols = !SSLv3 !SSLv2