Bonjour, J'ai des problèmes d'envoi de mail avec deux domaines, suivant l'OS des serveurs.
Je reproduit le problème de négociation TLS avec "openssl s_client".
Pour les domaines ac-orleans-tour.fr et trendmicro.com; je lance
openssl s_client -connect mx1.ac-orleans-tours.fr:25 -starttls smtp
openssl s_client -connect sjdc-itpf-03.udc.trendmicro.com:25 -starttls smtp
Sous Ubuntu 18.04 ou Debian 10, les 2 domaines fonctionnent Sous Centos 8.4, seul trendmicro fonctionne Sous Ubuntu 20.04 ou Debian 11; les 2 domaines sont refusé Tous ces systèmes on des versions openssl basée sur la 1.1.1
Pour ac-orleans-tour, le message suivant apparait:
140117515637376:error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small:../ssl/statem/statem_clnt.c:2149:
J'aimerais comprendre, et éventuellement savoir si on doit écrire aux postmaster...
Merci et bonne année!
Bonjour
Sous CentOS 8, essayes "update-crypto-policies --set LEGACY"
Il est probable que cela contourne le problème.
Cordialement
________________________________ De : Juan Isoza jisoza@gmail.com Envoyé : dimanche 16 janvier 2022 16:29:50 À : frsag@frsag.org Objet : [FRsAG] Problème de configuration STARTTLS sur MX
Bonjour, J'ai des problèmes d'envoi de mail avec deux domaines, suivant l'OS des serveurs.
Je reproduit le problème de négociation TLS avec "openssl s_client".
Pour les domaines ac-orleans-tour.frhttp://ac-orleans-tour.fr et trendmicro.comhttp://trendmicro.com; je lance
openssl s_client -connect mx1.ac-orleans-tours.fr:25http://mx1.ac-orleans-tours.fr:25 -starttls smtp
openssl s_client -connect sjdc-itpf-03.udc.trendmicro.com:25http://sjdc-itpf-03.udc.trendmicro.com:25 -starttls smtp
Sous Ubuntu 18.04 ou Debian 10, les 2 domaines fonctionnent Sous Centos 8.4, seul trendmicro fonctionne Sous Ubuntu 20.04 ou Debian 11; les 2 domaines sont refusé Tous ces systèmes on des versions openssl basée sur la 1.1.1
Pour ac-orleans-tour, le message suivant apparait:
140117515637376:error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small:../ssl/statem/statem_clnt.c:2149:
J'aimerais comprendre, et éventuellement savoir si on doit écrire aux postmaster...
Merci et bonne année!
Hello,
J'arrive à me connecter aux 2 sur ma Arch et openssl 1.1.1m (le TrendMicro est TRÈS lent à répondre par contre).
Je constate que le certificat utilisé pour ac-orleans-tours est autosigné, ce qui devrait déjà être un problème à part entière.
Autrement oui le DH de 1024 bits c'est normal que ça soit refusé, l'ANSSI recommande 3072 bits minimum (donc 4096 en pratique). C'est sûrement que la conf par défaut d'OpenSSL est différente selon les version des distros que tu teste que le résultat diffère.
Pour ta CentOS le trendmicro a du passer car son certificat n'est pas autosigné contrairement à ac-orleans-tours.
Bon courage pour la suite,
Jarod G.
On 16/01/2022 16:43, Christophe Grenier wrote:
Bonjour
Sous CentOS 8, essayes "update-crypto-policies --set LEGACY"
Il est probable que cela contourne le problème.
Cordialement
*De :* Juan Isoza jisoza@gmail.com *Envoyé :* dimanche 16 janvier 2022 16:29:50 *À :* frsag@frsag.org *Objet :* [FRsAG] Problème de configuration STARTTLS sur MX
Bonjour, J'ai des problèmes d'envoi de mail avec deux domaines, suivant l'OS des serveurs.
Je reproduit le problème de négociation TLS avec "openssl s_client".
Pour les domaines ac-orleans-tour.fr http://ac-orleans-tour.fr et trendmicro.com http://trendmicro.com; je lance
openssl s_client -connectmx1.ac-orleans-tours.fr:25 http://mx1.ac-orleans-tours.fr:25 -starttls smtp openssl s_client -connectsjdc-itpf-03.udc.trendmicro.com:25 http://sjdc-itpf-03.udc.trendmicro.com:25 -starttls smtp
Sous Ubuntu 18.04 ou Debian 10, les 2 domaines fonctionnent Sous Centos 8.4, seul trendmicro fonctionne Sous Ubuntu 20.04 ou Debian 11; les 2 domaines sont refusé Tous ces systèmes on des versions openssl basée sur la 1.1.1
Pour ac-orleans-tour, le message suivant apparait: 140117515637376:error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small:../ssl/statem/statem_clnt.c:2149: J'aimerais comprendre, et éventuellement savoir si on doit écrire aux postmaster...
Merci et bonne année!
Liste de diffusion du %(real_name)s http://www.frsag.org/
Merci. Autre piste à la fin de https://stackoverflow.com/questions/36417224/openssl-dh-key-too-small-error
Le passage à CipherString = DEFAULT@SECLEVEL=1 dans le fichier de configuration openssl permet de se connecter.
Mais c'est quand même un peu dommage que TrendMicro soit aussi mal configuré!
Le dim. 16 janv. 2022 à 16:53, Jarod G. via FRsAG frsag@frsag.org a écrit :
Hello,
J'arrive à me connecter aux 2 sur ma Arch et openssl 1.1.1m (le TrendMicro est TRÈS lent à répondre par contre).
Je constate que le certificat utilisé pour ac-orleans-tours est autosigné, ce qui devrait déjà être un problème à part entière.
Autrement oui le DH de 1024 bits c'est normal que ça soit refusé, l'ANSSI recommande 3072 bits minimum (donc 4096 en pratique). C'est sûrement que la conf par défaut d'OpenSSL est différente selon les version des distros que tu teste que le résultat diffère.
Pour ta CentOS le trendmicro a du passer car son certificat n'est pas autosigné contrairement à ac-orleans-tours.
Bon courage pour la suite,
Jarod G.
On 16/01/2022 16:43, Christophe Grenier wrote:
Bonjour
Sous CentOS 8, essayes "update-crypto-policies --set LEGACY"
Il est probable que cela contourne le problème.
Cordialement
*De :* Juan Isoza jisoza@gmail.com jisoza@gmail.com *Envoyé :* dimanche 16 janvier 2022 16:29:50 *À :* frsag@frsag.org *Objet :* [FRsAG] Problème de configuration STARTTLS sur MX
Bonjour, J'ai des problèmes d'envoi de mail avec deux domaines, suivant l'OS des serveurs.
Je reproduit le problème de négociation TLS avec "openssl s_client".
Pour les domaines ac-orleans-tour.fr et trendmicro.com; je lance
openssl s_client -connect mx1.ac-orleans-tours.fr:25 -starttls smtp
openssl s_client -connect sjdc-itpf-03.udc.trendmicro.com:25 -starttls smtp
Sous Ubuntu 18.04 ou Debian 10, les 2 domaines fonctionnent Sous Centos 8.4, seul trendmicro fonctionne Sous Ubuntu 20.04 ou Debian 11; les 2 domaines sont refusé Tous ces systèmes on des versions openssl basée sur la 1.1.1
Pour ac-orleans-tour, le message suivant apparait:
140117515637376:error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small:../ssl/statem/statem_clnt.c:2149:
J'aimerais comprendre, et éventuellement savoir si on doit écrire aux postmaster...
Merci et bonne année!
Liste de diffusion du %(real_name)shttp://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
Salut,
Marrant, j'étais tombé sur un problème similaire avec le domaine ac-strasbourg.fr. Doit-on comprendre que c'est la norme de faire un peu n'importe quoi avec le TLS sur le mail dans les académies ?
Au rectorat de Strasbourg, ils ont pris la peine de mettre du DNSSEC et de diffuser la validation du certificat auto-signé dans DANE. Bref, c'était propre de ce point de vue.
A Orleans, c'est carrément le YOLO total sur le TLS en mail.
Le site hardenize aide bien pour donner des preuves de misconf :
https://www.hardenize.com/report/ac-orleans-tours.fr/1642366693#email
https://www.hardenize.com/report/ac-strasbourg.fr/1642366721#email
Je passe sur les incohérences de NS, l'absence totale d'IPv6, etc ...
Tu peux faire un mail aux postmasters mais il faut déjà trouver l'adresse qui est bien cachée au fin fond du site du rectorat. Et pour Strasbourg, j'aurais mieux fait de pisser dans un violon.
Bon courage,
Julien
Le 16/01/2022 à 16:29, Juan Isoza a écrit :
Bonjour, J'ai des problèmes d'envoi de mail avec deux domaines, suivant l'OS des serveurs.
Je reproduit le problème de négociation TLS avec "openssl s_client".
Pour les domaines ac-orleans-tour.fr http://ac-orleans-tour.fr et trendmicro.com http://trendmicro.com; je lance
openssl s_client -connect mx1.ac-orleans-tours.fr:25 http://mx1.ac-orleans-tours.fr:25 -starttls smtp openssl s_client -connect sjdc-itpf-03.udc.trendmicro.com:25 http://sjdc-itpf-03.udc.trendmicro.com:25 -starttls smtp
Sous Ubuntu 18.04 ou Debian 10, les 2 domaines fonctionnent Sous Centos 8.4, seul trendmicro fonctionne Sous Ubuntu 20.04 ou Debian 11; les 2 domaines sont refusé Tous ces systèmes on des versions openssl basée sur la 1.1.1
Pour ac-orleans-tour, le message suivant apparait: 140117515637376:error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small:../ssl/statem/statem_clnt.c:2149: J'aimerais comprendre, et éventuellement savoir si on doit écrire aux postmaster...
Merci et bonne année!
Liste de diffusion du %(real_name)s http://www.frsag.org/
En fait je sais pas qui blâmer entre TrendMicro et les académies car j'ai l'impression que l'anti-spam/virus/çafaitlecaféaussi TrendMicro est en frontal direct et que c'est lui qui gère toute la stack tls avec le client/serveur et que seulement "quand c'est bon" il va passer au postfix qui est derrière.
Maintenant la question étant, est-ce que les académies ont la main la dessus ou bien est-ce une solution en mode boite noire et dans ce cas TrendMicro serait le problème ?
En tout cas même dans le cas où les académies auraient la main, elle fait rêver la config par défaut... (DH à 1024 bits, ciphers non PFS, du SEED, du 3DES...)
On 16/01/2022 22:07, Julien Escario wrote:
Salut,
Marrant, j'étais tombé sur un problème similaire avec le domaine ac-strasbourg.fr. Doit-on comprendre que c'est la norme de faire un peu n'importe quoi avec le TLS sur le mail dans les académies ?
Au rectorat de Strasbourg, ils ont pris la peine de mettre du DNSSEC et de diffuser la validation du certificat auto-signé dans DANE. Bref, c'était propre de ce point de vue.
A Orleans, c'est carrément le YOLO total sur le TLS en mail.
Le site hardenize aide bien pour donner des preuves de misconf :
https://www.hardenize.com/report/ac-orleans-tours.fr/1642366693#email
https://www.hardenize.com/report/ac-strasbourg.fr/1642366721#email
Je passe sur les incohérences de NS, l'absence totale d'IPv6, etc ...
Tu peux faire un mail aux postmasters mais il faut déjà trouver l'adresse qui est bien cachée au fin fond du site du rectorat. Et pour Strasbourg, j'aurais mieux fait de pisser dans un violon.
Bon courage,
Julien
Le 16/01/2022 à 16:29, Juan Isoza a écrit :
Bonjour, J'ai des problèmes d'envoi de mail avec deux domaines, suivant l'OS des serveurs.
Je reproduit le problème de négociation TLS avec "openssl s_client".
Pour les domaines ac-orleans-tour.fr http://ac-orleans-tour.fr et trendmicro.com http://trendmicro.com; je lance
openssl s_client -connect mx1.ac-orleans-tours.fr:25 http://mx1.ac-orleans-tours.fr:25 -starttls smtp openssl s_client -connect sjdc-itpf-03.udc.trendmicro.com:25 http://sjdc-itpf-03.udc.trendmicro.com:25 -starttls smtp
Sous Ubuntu 18.04 ou Debian 10, les 2 domaines fonctionnent Sous Centos 8.4, seul trendmicro fonctionne Sous Ubuntu 20.04 ou Debian 11; les 2 domaines sont refusé Tous ces systèmes on des versions openssl basée sur la 1.1.1
Pour ac-orleans-tour, le message suivant apparait: 140117515637376:error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small:../ssl/statem/statem_clnt.c:2149: J'aimerais comprendre, et éventuellement savoir si on doit écrire aux postmaster...
Merci et bonne année!
Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
-
Christophe Grenier -
Jarod G. -
Juan Isoza -
Julien Escario