На почтовом сервере Debian 7 / exim4 / gnutls, который я использую, примерно через 1-2 недели письма из Gmail больше не приходят со следующим типичным сообщением об ошибке в файле журнала:
2015-02-14 17:32:07 TLS error on connection from mail-la0-f52.google.com [209.85.215.52] (gnutls_handshake): Could not negotiate a supported cipher suite.
Кто-нибудь знает, изменил ли гугл что-нибудь в своей конфигурации?
Каковы ваши рекомендуемые настройки для tls_require_ciphers
в конфигурации exim4?
Эта проблема возникла неожиданно, я не менял сертификат или соответствующие обновления за последние две недели. Я единственный с этой проблемой?
Проблема была в следующем: Сертификат сервера был подписан хешем SHA-512. Debian 7 по-прежнему поставляется с gnutls
2.x, но gnutls
3.x требуется для безопасного использования подписанных сертификатов SHA-512. Я устанавливал этот сертификат 23 декабря 2014 года.
Google, похоже, изменил свою политику согласования шифров, чтобы быть более строгим в отношении резервных шифров и / или проверки подписи. До конца января 2015 года обмен почтой с серверами gmail работал (с конфигурацией CRT с подписью Debian 7 + gnutls 2.6 + SHA-512), затем он внезапно упал, поэтому после конца января 2015 года электронные письма не могли быть получены из Gmail без изменений. моя сторона.
Решение: Замена подписанного сертификата SHA-256 или обновление до gnutls
3.x (которого в настоящее время нет в стабильной ветке Debian 7) решает проблему. (Я сделал первый.)
Примечание 1: Изучая онлайн, я обнаружил, что это также проблема многих некоммерческих CaCert.org сертификаты, которые по умолчанию подписаны SHA-512. Кажется, что CaCert.org теперь предоставляет «расширенную опцию» в интерфейсе генерации CRT для выбора SHA-256, чтобы избежать этой проблемы для пользователей Debian 7. Однако именно по этому вопросу на онлайн-форумах в настоящее время появляется множество вводящих в заблуждение намеков и предложений, в которых говорится, что tls_require_ciphers
переменная должна быть правильно установлена в exim4
конфигурации для обеспечения правильного согласования набора шифров. Это не верно; Я вообще не настраивал эту переменную.
Заметка 2: Связанная с этим проблема связана с клиентами, использующими Thunderbird подключение к exim4
+ Debian 7 MTA для отправки почты (см. Этот пост: Exim после обновления Thunderbird: «Не удалось согласовать поддерживаемый набор шифров» (который был закрыт, но на самом деле тесно связан). Thunderbird имеет точно такую же строгую конфигурацию, что и Gmail при согласовании набора шифров, поэтому он не работает в этих конкретных обстоятельствах, когда сервер использует gnutls
<3.x, но CRT со знаком SHA-512. Решение такое же: используйте CRT со знаком SHA-256 или обновите libgnutls (если это возможно в вашем дистрибутиве).