TLS library problem postfix

dodo.deejay31 · Mars 26, 2020, 3:43pm

Bonjour

Dans les log de postix je retrouve de temps en temps ceci :

Mar 26 12:32:07 dtel postfix/smtps/smtpd[5874]: warning: TLS library problem: 
error:1408F10B:SSL routines:ssl3_get_record:wrong version 
number:../ssl/record/ssl3_record.c:332:

TLS library problem: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate 
unknown:../ssl/record/rec_layer_s3.c:1544:SSL alert number 46:

Voici mon main.cf :

smtpd_tls_loglevel            = 1
smtpd_tls_auth_only           = yes
smtpd_tls_security_level      = may
smtpd_tls_received_header     = yes
smtpd_tls_protocols           = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers   = medium
smtpd_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtpd_tls_cert_file           = /etc/letsencrypt/live/xxx.pro/cert.pem
smtpd_tls_key_file            = /etc/letsencrypt/live/xxx.pro/privkey.pem
smtpd_tls_dh1024_param_file   = $config_directory/dh2048.pem
smtpd_tls_dh512_param_file    = $config_directory/dh512.pem
tls_preempt_cipherlist = yes
tls_random_source      = dev:/dev/urandom
smtp_tls_session_cache_database  = btree:${data_directory}/smtp_scache
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
lmtp_tls_session_cache_database  = btree:${data_directory}/lmtp_scache
smtpd_sasl_auth_enable          = yes
smtpd_sasl_type                 = dovecot
smtpd_sasl_path                 = private/auth
smtpd_sasl_security_options     = noanonymous
smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
smtpd_sasl_local_domain         = $mydomain
smtpd_sasl_authenticated_header = yes
broken_sasl_auth_clients = yes

Merci a vous

anon70622873 · Mars 26, 2020, 5:02pm

Bonjour,

Il faut donner l’intégralité des lignes de logs pertinentes, depuis la tentative de connexion du client jusqu’à la fermeture de la connexion.
Il faut surtout savoir si ce client est un client légitime ou pas car ce genre d’erreur est monnaie courante dans les logs d’un serveur de courriel. Il s’agit d’un client qui tente de négocier la connexion TLS avec un protocole interdit ou qui n’est plus pris en charge (SSLv2 et v3)

dodo.deejay31 · Mars 26, 2020, 4:32pm

Mar 26 15:35:39 dtel postfix/smtpd[11498]: connect from so254-41.mailgun.net[198.61.254.41]
Mar 26 15:35:40 dtel postfix/smtpd[11498]: SSL_accept error from so254-41.mailgun.net[198.61.254.41]: -1
Mar 26 15:35:40 dtel postfix/smtpd[11498]: warning: TLS library problem: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate:../ssl/record/rec_layer_s3.c:1544:SSL alert number 42:
Mar 26 15:35:40 dtel postfix/smtpd[11498]: lost connection after STARTTLS from so254-41.mailgun.net[198.61.254.41]
Mar 26 15:35:40 dtel postfix/smtpd[11498]: disconnect from so254-41.mailgun.net[198.61.254.41] ehlo=1 starttls=0/1 commands=1/2


connect from authorization.12minbitdeep.top[51.83.198.56]
Mar 26 09:43:15 dtel postfix/smtpd[129269]: SSL_accept error from webgride242.emsecure.net[91.230.171.242]: -1
Mar 26 09:43:15 dtel postfix/smtpd[129269]: warning: TLS library problem: error:1408F119:SSL routines:ssl3_get_record:decryption failed or bad record mac:../ssl/record/ssl3_record.c:677:
Mar 26 09:43:15 dtel postfix/smtpd[129269]: lost connection after STARTTLS from webgride242.emsecure.net[91.230.171.242]
Mar 26 09:43:15 dtel postfix/smtpd[129269]: disconnect from webgride242.emsecure.net[91.230.171.242] ehlo=1 starttls=0/1 commands=1/2

anon70622873 · Mars 26, 2020, 5:10pm

Je ne vois aucun problème. Juste des clients, probablement illégitimes, qui essaient d’initialiser une session STARTTLS avec des protocoles non reconnus.

dodo.deejay31 · Mars 26, 2020, 5:12pm

ok merci, c’est vrai que c’est toujours les même qui revienne.

anon70622873 · Mars 27, 2020, 8:13am

Tu peux mettre en place postscreen, si ce n’est déjà fait, pou virer les spammeurs connus avant même qu’il ne commencent à négocier la transaction SMTP.

dodo.deejay31 · Mars 26, 2020, 8:45pm

Ok merci