Рейтинг:0

Каковы правильные настройки Postfix для включения устаревших подключений TLS v1.0 из устаревшей системы Windows XP?

флаг in

У меня есть устаревшая коробка WinXP Embedded SP3 (не судите строго; мы находимся в процессе ее устаревания), которой нужно отправлять электронное письмо для обновления статуса и т. д.

Раньше для этого использовался GMail, но вскоре они собираются отключить поддержку небезопасных приложений, поэтому нам нужен обходной путь, чтобы решить проблему в краткосрочной перспективе. С этой целью я установил постфиксный сервер на основе Ubuntu-Linux (v3.4.13) и попытался настроить его для разрешения подключений TLS v1.0.

На более новых (машинах на базе Windows 10) с точно таким же клиентом они могут успешно подключаться и отправлять электронную почту. Однако по какой-то причине машина XP выходит из строя.

Есть ли параметр, который мне нужно изменить в постфиксе, чтобы разрешить эти устаревшие соединения?

Пример неудачного подключения (постфиксные логи):

24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: инициализация механизма TLS на стороне сервера
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: подключиться от неизвестного[62.232.130.246]
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: настройка TLS-соединения от неизвестного[62.232.130.246]
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: неизвестно[62.232.130.246]: список шифров TLS "aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH"
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: SSL_accept: перед инициализацией SSL
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: чтение из 558F3C6A5600 [558F3C6AC5A3] (5 байт => -1 (0xFFFFFFFFFFFFFFFF))
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: чтение из 558F3C6A5600 [558F3C6AC5A3] (5 байт => 5 (0x5))
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: 0000 16 03 01 00 41 ....A
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: чтение из 558F3C6A5600 [558F3C6AC5A8] (65 байт => 65 (0x41))
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: 0000 01 00 00 3d 03 01 62 3c|93 7a a3 47 25 d5 46 cd ...=..b< .z.G%.F.
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: 0010 b6 ca 43 77 7c 91 23 47|60 f7 bb 1a 88 04 81 62 ..Cw|.#G `......b
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: 0020 07 e3 ac 35 20 1f 00 00|16 00 04 00 05 00 0a 00 ...5 ... ........
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: 0030 09 00 64 00 62 00 03 00|06 00 13 00 12 00 63 01 ..d.b... ......c.
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: 0040 - <ПРОБЕЛЫ/НУЛИ>
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: SSL_accept: перед инициализацией SSL
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: запись на 558F3C6A5600 [558F3C6B4750] (7 байт => 7 (0x7))
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: 0000 15 03 01 00 02 02 28 ......(
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: запись предупреждения SSL3: фатальная: ошибка рукопожатия
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: SSL_accept: ошибка в ошибке
24 марта, 15:51:22 smtp-relay postfix/smtpd[83942]: ошибка SSL_accept от неизвестного [62.232.130.246]: -1
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: предупреждение: проблема с библиотекой TLS: ошибка: 1417A0C1: подпрограммы SSL: tls_post_process_client_hello: нет общего шифра: ../ssl/statem/statem_srvr.c:2283:
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: потеря соединения после STARTTLS от неизвестного[62.232.130.246]
24 марта 15:51:22 smtp-relay postfix/smtpd[83942]: отключиться от неизвестного[62.232.130.246] ehlo=1 starttls=0/1 command=1/2

Успешное подключение с машины win-10 (бинарные последовательности сокращены для краткости):

24 марта, 15:45:32 smtp-relay postfix/smtpd[83924]: инициализация механизма TLS на стороне сервера
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: подключиться от неизвестного[62.232.130.246]
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: настройка TLS-соединения от неизвестного[62.232.130.246]
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: неизвестно[62.232.130.246]: список шифров TLS "aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH"
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept: перед инициализацией SSL
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: чтение из 55CE58FD8490 [55CE590115A3] (5 байт => -1 (0xFFFFFFFFFFFFFFFF))
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: чтение из 55CE58FD8490 [55CE590115A3] (5 байт => 5 (0x5))
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 16 03 01 00 7a ....z
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: чтение из 55CE58FD8490 [55CE590115A8] (122 байта => 122 (0x7A))
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 01 00 00 76 03 01 62 3c|92 0b e0 5b 1a 7f 9e 24 ...v..b< ...[... $

...

24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0070 00 00 17 00 00 ff 01 00|01 ........ .
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0079 - <ПРОБЕЛЫ/НУЛИ>
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept: перед инициализацией SSL
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:SSLv3/TLS читать клиент привет
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:SSLv3/TLS сервер записи привет
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: запись на 55CE58FD8490 [55CE59019750] (4096 байт => 4096 (0x1000))
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 16 03 01 00 41 02 00 00|3d 03 01 4d d2 77 f9 9c ....A... =..M.w..

...

24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0ff0 e9 ec e3 86 00 de 9d 10|e3 38 fa a4 7d b1 d8 e8 ........ .8..}.. .
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:сертификат записи SSLv3/TLS
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:SSLv3/TLS запись обмена ключами
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: запись на 55CE58FD8490 [55CE59019750] (330 байт => 330 (0x14A))
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 49 82 84 06 9b 2b e8 6b|4f 01 0c 38 77 2e f9 dd I....+.k O..8w...

...

24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0130 bb bf c2 b5 eb 25 5e 18|74 6e ca ad 10 ee 91 51 .....%^. тн.....Q
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0140 2f 16 03 01 00 04 0e /......
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0147 - <ПРОБЕЛЫ/НУЛИ>
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept: сервер записи SSLv3/TLS выполнен
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: чтение из 55CE58FD8490 [55CE590115A3] (5 байт => -1 (0xFFFFFFFFFFFFFFFF))
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: чтение из 55CE58FD8490 [55CE590115A3] (5 байт => 5 (0x5))
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 16 03 01 00 25 ....%
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: чтение из 55CE58FD8490 [55CE590115A8] (37 байт => 37 (0x25))
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 10 00 00 21 20 01 8c 9c|11 84 58 2d d6 b3 77 7c ...! ... ..X-..w|
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0010 5c d0 87 bd 98 e7 0e a1|dd 10 51 c8 27 98 e9 3e \....... ..Q.'.. >
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0020 cb 64 24 7a 0a .d$z.
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept: сервер записи SSLv3/TLS выполнен
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: чтение из 55CE58FD8490 [55CE590115A3] (5 байт => 5 (0x5))
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 14 03 01 00 01 .....
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: чтение из 55CE58FD8490 [55CE590115A8] (1 байт => 1 (0x1))
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 01 .
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:SSLv3/TLS чтение обмена ключами клиента
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: чтение из 55CE58FD8490 [55CE590115A3] (5 байт => 5 (0x5))
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 16 03 01 00 30 ....0
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: чтение из 55CE58FD8490 [55CE590115A8] (48 байт => 48 (0x30))
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 a4 a1 7c 35 01 99 6f 54|16 81 3a 80 00 a4 2e 99 ..|5..oT ..:.....
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0010 b1 2a 95 89 f3 37 0e 96|21 25 06 cc c8 8b 57 4e .*...7.. !%....WN
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0020 16 46 5f 54 0f 77 14 59|47 30 00 9e a5 6a b9 5f .F_T.w.Y G0...j._
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:SSLv3/TLS чтение изменения спецификации шифрования
24 марта, 15:45:32 smtp-relay postfix/smtpd[83924]: чтение SSL_accept:SSLv3/TLS завершено
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: неизвестно[62.232.130.246]: выдача билета сеанса, срок действия ключа: 1648138531
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:SSLv3/TLS записывает билет сеанса
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:SSLv3/TLS запись изменения спецификации шифрования
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: запись на 55CE58FD8490 [55CE59019750] (250 байт => 250 (0xFA))
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 16 03 01 00 ba 04 00 00|b6 00 00 1c 20 00 b0 b0 ........ .... ...

...

24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: 00f0 db fc 56 30 de fc cf b4|70 68 ..V0.... ph
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:запись SSLv3/TLS завершена
24 марта, 15:45:32 smtp-relay postfix/smtpd[83924]: установлено анонимное TLS-соединение от неизвестного [62.232.130.246]: TLSv1 с шифром ECDHE-RSA-AES256-SHA (256/256 бит)
24 марта 15:45:32 smtp-relay postfix/smtpd[83924]: чтение из 55CE58FD8490 [55CE590115A3] (5 байт => -1 (0xFFFFFFFFFFFFFFFF))
24 марта 15:45:33 smtp-relay postfix/smtpd[83924]: чтение из 55CE58FD8490 [55CE590115A3] (5 байт => 0 (0x0))
24 марта 15:45:33 smtp-relay postfix/smtpd[83924]: потеря соединения после STARTTLS от неизвестного[62.232.130.246]
24 марта 15:45:33 smtp-relay postfix/smtpd[83924]: отключиться от неизвестного[62.232.130.246] ehlo=1 starttls=1 command=2
Рейтинг:2
флаг jp

Вы не говорите, какая версия и сборка OpenSSL (которая определяет доступные наборы шифров, а также протоколы, хотя протокол здесь не является вашей проблемой) или выпуск Ubuntu (который фактически определяет вышеизложенное), но из исходного файла в сообщении об ошибке это явно 1.1.0 или выше, и обычно он не поддерживает ни один из наборов шифров, предлагаемых вашим клиентом XP3. Если клиент различается в зависимости от Windows, на которой он работает, возможно, он использует schannel, а XP/S03 (даже с SP) не шифровали лучше, чем 3DES (подтверждено в дампе ClientHello).

Проще всего было бы, если бы клиент мог использовать SMTP (без TLS), и вы настроили постфикс, чтобы принять это; пока этот сервер используется только для этого одного хромого клиента, риск безопасности не намного хуже, чем тот клиент, который уже есть. В противном случае:

(я почти уверен), вы можете загрузить исходный пакет (OpenSSL) (то есть уже исправленный/настроенный Ubuntu), а также сборки и инструменты сборки, измените шаг конфигурации, чтобы добавить --enable-ssl-слабые-шифры, перестроить и установить; это должен быть совместимым (и теперь поддерживать 3DES, включенный в MEDIUM), хотя лично я бы не рискнул, если бы что-то важное работало в той же системе.В противном случае вы либо должны создать свою собственную версию OpenSSL и ваш собственный постфикс, использующий его, или предполагая, что вы используете неявный (465, а не STARTTLS), поместите что-то (простое) в bewteen, например, пару последовательных stunnel, построенных с ослабленной версией OpenSSL, что, вероятно, проще.

ИЛИ ЖЕ просто используйте Ubuntu, более близкую по возрасту к XP, например 16.04, которая у меня есть на WSL для тестирования, и имеет OpenSSL 1.0.2g-plus-patches который поддерживает 3DES (и TLS1.0 — все OpenSSL, начиная с версии 0.9.8, поддерживают это). Если вы не хотите выделять для этого систему, поместите ее в виртуальную машину, докер или что-то подобное. Что, кстати, также может помочь предотвратить панику, если ваша организация выполняет сканирование всей сети на наличие устаревших или уязвимых версий вещей.

флаг in
В настоящее время он работает на Ubuntu 20.04.4 LTS и OpenSSL 1.1.1f 31 марта 2020 года. Спасибо за предложения - посмотрю.
флаг in
Перекомпиляция с `enable-ssl-weak-ciphers` помогла. Большое спасибо за вашу помощь. Теперь работа над планом по полной ликвидации этой машины :-)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.