Salut,
Marrant, j'étais tombé sur un problème similaire avec le domaine ac-strasbourg.fr. Doit-on comprendre que c'est la norme de faire un peu n'importe quoi avec le TLS sur le mail dans les académies ?
Au rectorat de Strasbourg, ils ont pris la peine de mettre du DNSSEC et de diffuser la validation du certificat auto-signé dans DANE. Bref, c'était propre de ce point de vue.
A Orleans, c'est carrément le YOLO total sur le TLS en mail.
Le site hardenize aide bien pour donner des preuves de misconf :
https://www.hardenize.com/report/ac-orleans-tours.fr/1642366693#email
https://www.hardenize.com/report/ac-strasbourg.fr/1642366721#email
Je passe sur les incohérences de NS, l'absence totale d'IPv6, etc ...
Tu peux faire un mail aux postmasters mais il faut déjà trouver l'adresse qui est bien cachée au fin fond du site du rectorat. Et pour Strasbourg, j'aurais mieux fait de pisser dans un violon.
Bon courage,
Julien
Le 16/01/2022 à 16:29, Juan Isoza a écrit :
Bonjour, J'ai des problèmes d'envoi de mail avec deux domaines, suivant l'OS des serveurs.
Je reproduit le problème de négociation TLS avec "openssl s_client".
Pour les domaines ac-orleans-tour.fr http://ac-orleans-tour.fr et trendmicro.com http://trendmicro.com; je lance
openssl s_client -connect mx1.ac-orleans-tours.fr:25 http://mx1.ac-orleans-tours.fr:25 -starttls smtp openssl s_client -connect sjdc-itpf-03.udc.trendmicro.com:25 http://sjdc-itpf-03.udc.trendmicro.com:25 -starttls smtp
Sous Ubuntu 18.04 ou Debian 10, les 2 domaines fonctionnent Sous Centos 8.4, seul trendmicro fonctionne Sous Ubuntu 20.04 ou Debian 11; les 2 domaines sont refusé Tous ces systèmes on des versions openssl basée sur la 1.1.1
Pour ac-orleans-tour, le message suivant apparait: 140117515637376:error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small:../ssl/statem/statem_clnt.c:2149: J'aimerais comprendre, et éventuellement savoir si on doit écrire aux postmaster...
Merci et bonne année!
Liste de diffusion du %(real_name)s http://www.frsag.org/