Postfix ubuntu port 465

Konfiguracja serwerów, usług, itp.
tomeksup
Posty: 1
Rejestracja: 29 sierpnia 2019, 12:19

Postfix ubuntu port 465

Post autor: tomeksup »

Proszę o pomoc. Sam sobie nie poradzę.

W logach otrzymuję coś takiego (pozmieniałem dane prywatne):

Kod: Zaznacz cały

Aug 29 12:22:57 NAGIOS postfix/qmgr[16401]: 71640822DD: from=<ab@NAGIOS>, size=347, nrcpt=1 (queue active)
Aug 29 12:22:57 NAGIOS postfix/qmgr[16401]: 3C29C822E9: from=<iab@NAGIOS>, size=347, nrcpt=1 (queue active)
Aug 29 12:22:57 NAGIOS postfix/smtp[16909]: SSL_connect error to xx-xx.x.pl[IP]:465: -1
Aug 29 12:22:57 NAGIOS postfix/smtp[16909]: warning: TLS library problem: error:1408F10B:SSL routines:ssl3_get_record:wrong version number:../ssl/record/ssl3_record.c:332:
Aug 29 12:22:57 NAGIOS postfix/smtp[16910]: SSL_connect error to xx-xx.x.pl[IP]:465: -1
Aug 29 12:22:57 NAGIOS postfix/smtp[16910]: warning: TLS library problem: error:1408F10B:SSL routines:ssl3_get_record:wrong version number:../ssl/record/ssl3_record.c:332:
Aug 29 12:22:57 NAGIOS postfix/smtp[16909]: 71640822DD: to=<moj.majl@domena.pl>, relay=smtp.domena.pl[IP]:465, delay=989, delays=989/0.02/0.01/0, dsn=4.7.5, status=deferred (Cannot start TLS: handshake failure)
Aug 29 12:22:57 NAGIOS postfix/smtp[16910]: 3C29C822E9: to=<moj.majl@domena.pl>, relay=smtp.domena.pl[IP]:465, delay=597, delays=597/0.02/0.01/0, dsn=4.7.5, status=deferred (Cannot start TLS: handshake failure)

Bardzo proszę o pomoc w rozwiązaniu problemu.
Awatar użytkownika
Andyk
Beginner
Posty: 125
Rejestracja: 08 listopada 2008, 01:24

Re: Postfix ubuntu port 465

Post autor: Andyk »

Witam.

jest handshake failure znaczy to, że nie można było zrobić handshake'a a więc zestawić połączenia SSL.
Jak cie temat ineteresuje to poszukaj jak się zestawia połączenie SSL/TLS.
Żeby zdiagnozować problem użyj narzędzi z pakietu openssl. Możesz sprawdzić tak:

Kod: Zaznacz cały

openssl s_client -host adres_hosta -port 465
Jeśli prawidłowo działa Ci port 465 to powinieneś mieć nawiązaną sesję i móc sobie normalnie wysłać wiadomość z konsoli, czyli:

Kod: Zaznacz cały

ehlo costam.pl
mail from: djskd@domena.pl
rcpt to: cos@domena2.pl
data
jakis text.
.
Jak nie zestawia Ci sesji to masz zepsutą konfigurację na porcie 465, popatrz w logi, czy coś tam widać po sprawdzeniu przez openssl s_client,
jak niewiele widać, to włącz debug. Sprawdź narzędziami openssl certyfikat i klucz, sprawdź uprawnienia do plików.

Kod: Zaznacz cały

openssl x509 -noout -text -in server.crt
openssl rsa -noout -text -in server.key

openssl x509 -noout -modulus -in server.crt | openssl md5
openssl rsa -noout -modulus -in server.key | openssl md5
Chyba nie muszę przypominać, że sumy kontrolne certyfikatu i klucza muszą się zgadzać?
Możesz jeszcze uruchomić sobie na adres IP i port tcpdumpa zrobić dumpa do pliku i sprawdzić sobie w wireshark'u tam będzie widać co się dzieje.
Podejrzewam, że może być sytuacja, że klient twój używa starej wersji sslv3 a domyślnie ona jest wyłączona - bo jest stara i niebezpieczna. W tcpdumpie będziesz widział jakiej wersji ssl używa klient.
ODPOWIEDZ