Из-за недавних опасений по поводу POODLE мы начали процесс изменения всех подключений на TLS вместо SSL ...
Хотя этот процесс прошел гладко для HTTPS, кажется, что Dovecot и Postfix отклоняют (или, скорее, отбрасывают - поскольку время ожидания соединения истекает) попытки почтовых клиентов подключиться через TLS ---
Однако когда я бегу:
openssl s_client -connect {our IP}:465 -tls1_2 // также работает на 993
Он возвращает:
CONNECTED
[...]
New, TLSv1/SSLv3, Cipher is [...]
Server public key is 4096 bit
[...]
SSL-Session:
Protocol : TLSv1.2
[...]
В /etc/postfix/main.cfсоответствующие строки гласят:
smtpd_use_tls = yes
[...]
smtpd_tls_security_level = may
smtpd_tls_auth_only = no
smtp_tls_note_starttls_offer = yes
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
В /etc/dovecot/${grep -l -R 'tls'} - единственные релевантные строки без комментариев:
ssl_cert = </etc/dovecot/dovecot.pem
ssl_key = </etc/dovecot/private/dovecot.pem
Что, посмотрев на остальную часть файла, я не уверен, как SSL когда-либо работал с Dovecot --- но у него есть -!
Я уверен, что я просто неправильно понимаю, как это работает, и что мне не хватает небольшой части информации, которая прекрасно объясняет, почему openssl s_client показывает положительные результаты, при этом больше ни к чему не может подключиться по TLS ...
Итак, я ценю ваше понимание этого -
Не все приложения обновлены до TLS 1.2. Мои журналы SMTP показывают примерно 50/50 между TLS 1.0 и TLS 1.2. Это, вероятно, преувеличивает принятие TLS 1.2, поскольку мои внутренние службы используют TLS 1.2.
Попробуйте запустить свои тесты с -ssl3, -tls1, и tls1_1 так же как -tls1_2. Только сейчас -ssl3 должен потерпеть неудачу. Это должно позволить подключиться большинству современных клиентов.
я отключен SSLV3 на моих серверах в прошлые выходные. Я запускаю Dovecot, Apache и Exim, поэтому у меня нет инструкций для Postfix. Для Dovecot я использовал:
ssl_protocols = !SSLv3 !SSLv2