Регистрация Войти
Рейтинг:1
Tristan avatar Server

Postfix - потеря соединения после STARTTLS - ошибка SSL_accept от неизвестного

флаг ke
Tristan

Я настроил почтовый сервер на своем Debian 10 VPS с Postfix и Dovecot. Я могу отправлять электронную почту и получать электронную почту с некоторых серверов, но не со всех.

Когда я тестирую свой почтовый сервер в интернет.nl Я получаю следующее сообщение:

введите описание изображения здесь

почта.лог показывает следующее:

26 декабря 21:01:20 mail postfix/smtpd[24531]: потеря связи после STARTTLS из internet.nl[62.204.66.10]
26 декабря 21:01:20 mail postfix/smtpd[24531]: отключиться от internet.nl[62.204.66.10] ehlo=1 starttls=0/1 commands=1/2
26 декабря 21:01:20 почта postfix/smtpd[24531]: подключение из internet.nl[62.204.66.10]
26 декабря 21:01:20 почтовый постфикс/smtpd[24531]: ошибка SSL_accept из internet.nl[62.204.66.10]: -1
26 декабря 21:01:20 почта postfix/smtpd[24531]: предупреждение: проблема с библиотекой TLS: ошибка: 142090FC: подпрограммы SSL: tls_early_post_process_client_hello: неизвестный протокол:../ssl/statem/statem_srvr.c:1636:

постконф -н содержит это:

append_dot_mydomain = нет
биф = нет
bounce_queue_lifetime = 1 час
disable_vrfy_command = да
inet_interfaces = 127.0.0.1, ::1, ***, ***::1
local_recipient_maps = $virtual_mailbox_maps
почтовый ящик_размер_лимит = 0
maximal_backoff_time = 15 м
maximal_queue_lifetime = 1 час
message_size_limit = 52428800
milter_default_action = принять
milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}
milter_protocol = 6
минимальное_откат_время = 5 м
mua_client_restrictions = allow_mynetworks, permit_sasl_authenticated, отклонить
mua_relay_restrictions = reject_non_fqdn_recipient,reject_unknown_recipient_domain,permit_mynetworks,permit_sasl_authenticated,отклонить
mua_sender_restrictions = allow_mynetworks,reject_non_fqdn_sender,reject_sender_login_mismatch,permit_sasl_authenticated,отклонить
имя хоста = mail.***.com
мои сети = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
non_smtpd_milters = инет: локальный: 11332
proxy_read_maps = proxy:mysql:/etc/postfix/sql/aliases.cf proxy:mysql:/etc/postfix/sql/accounts.cf proxy:mysql:/etc/postfix/sql/domains.cf proxy:mysql:/etc /postfix/sql/recipient-access.cf proxy:mysql:/etc/postfix/sql/sender-login-maps.cf proxy:mysql:/etc/postfix/sql/tls-policy.cf
queue_run_delay = 5 м
получатель_разделитель = +
smtp_dns_support_level = DNSsec
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_ciphers = средний
smtp_tls_policy_maps = прокси:mysql:/etc/postfix/sql/tls-policy.cf
smtp_tls_security_level = датчанин
smtp_tls_session_cache_database = btree:${каталог_данных}/smtp_scache
smtpd_client_restrictions = allow_mynetworks check_client_access hash:/etc/postfix/without_ptr reject_unknown_client_hostname
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_helo_required = да
smtpd_helo_restrictions = allow_mynetworks reject_invalid_helo_hostname reject_non_fqdn_helo_hostname reject_unknown_helo_hostname
smtpd_milters = инет: локальный: 11332
smtpd_recipient_restrictions = check_recipient_access proxy:mysql:/etc/postfix/sql/recipient-access.cf
smtpd_relay_restrictions = reject_non_fqdn_recipient reject_unknown_recipient_domain allow_mynetworks reject_unauth_destination
smtpd_tls_auth_only = да
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.***.com/fullchain.pem
smtpd_tls_ciphers = средний
smtpd_tls_dh1024_param_file = /etc/postfix/dh4096.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.***.com/privkey.pem
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_security_level = может
smtpd_tls_session_cache_database = btree:${каталог_данных}/smtpd_scache
tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
tls_preempt_cipherlist = да
tls_ssl_options = NO_RENEGOTIATION
virtual_alias_maps = proxy:mysql:/etc/postfix/sql/aliases.cf
виртуальный_почтовый_домен = прокси:mysql:/etc/postfix/sql/domains.cf
virtual_mailbox_maps = прокси:mysql:/etc/postfix/sql/accounts.cf
виртуальный_транспорт = lmtp:unix:private/dovecot-lmtp

Вы можете найти полный файл main.cf здесь: https://pastebin.com/TnDhUZka

Я предполагаю, что мой сервер блокирует некоторые TLS, я также пробовал некоторые методы, а также искал сбой сервера - однако ни один из них мне пока не помог.

335
0 + 0
Ginnungagap avatar
флаг gu
Ginnungagap
internet.nl проверит несколько версий TLS. OpenSSL прекратил поддержку SSLv2/3, поэтому наличие неизвестной версии в журналах само по себе не является проблемой. Возможно, у вас слишком агрессивная настройка fail2ban?
0
Ответить
Tristan avatar
флаг ke
Tristan
@Ginnungagap Спасибо за ваш ответ, у меня тоже отключены SSLv2 и SSLv3, так как это небезопасно. Я просто удивлен, что internet.nl полностью с STARTTLS показывает ошибку.Подпроверки вообще не выполняются. fail2ban у меня не установлен/не настроен.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.