Содержание
- Exim TLS error while reading file: Resolved
- Exim TLS error while reading file
- Conclusion
- PREVENT YOUR SERVER FROM CRASHING!
- Vesta Control Panel — Forum
- Письма из Gmail не приходят
- Проблемы с Debian и сертификатом Letsencrypt
Exim TLS error while reading file: Resolved
by Nicky Mathew | Nov 5, 2021
Exim TLS error while reading file literally means it really can not read the [certificate] file.
As part of our Server Management Services, we assist our customers with several Exim queries.
Today let us see how we can fix the TLS error in Exim.
Exim TLS error while reading file
Generally, the exim4 certificate and key files need to have the owner and mode set in a strict way. Otherwise, Exim will not read it.,
Instead, while we are in the cert/key setup phase it will give us this error.
The exact owner and mode are:
Moving ahead, let us see how our Support Techs fix this error for our customers.
By default exim4 looks for CONFIGDIR/exim.crt and CONFIGDIR/exim.key (CONFIGDIR is for the /etc/exim4)
So, we copy the certificate and key to these two file names.
In addition, we need to remove all of the configuration entries we previously added. This is for exim4 to look for the default entries without any distraction.
After that, we need to ensure that the certificate and key are readable by exim4.
To do so, our Support Techs follow the steps below:
- First, we set the group to Debian-exim (chrgrp Debian-exim exim.*)
- Then we set the group read permission on (chmod g+r exim.*)
- Finally, we restart the exim4
Once done, we use checktls.com to ensure the TLS and certificate are working correctly.
[Need help with the fix? We are available 24*7]
Conclusion
In short, we saw how our Support Techs fix the Exim error for our customers.
PREVENT YOUR SERVER FROM CRASHING!
Never again lose customers to poor server speed! Let us help you.
Our server experts will monitor & maintain your server 24/7 so that it remains lightning fast and secure.
Источник
Vesta Control Panel — Forum
Письма из Gmail не приходят
Письма из Gmail не приходят
Post by jess23 » Fri Dec 01, 2017 9:23 pm
Подскажите в чем может быть причина, все письма которые отправляются из сервиса Gmail не доставляются. Тест на www.mail-tester.com проходит на все 10 балов. Отправка и получения писем из других сервисов (yandex/mail) отлично работают.
Подскажите, данный фрагмент: sendmail_path = /usr/sbin/sendmail -t -i -f «info@domain.com» нужно вставлять в файл PHP.INI?
Да, и ещё, подскажите, что значит в настройках почтового аккаунта разные настройки которые позволяют выбрать порт, например на сколько мне известно для gmail нужно использовать SMTP port: 465 (что я выбрал и сохранил) — но результатов так и не дало.
В чем может быть причина?
Спасибо за помощь.
Re: Письма из Gmail не приходят
Post by imperio » Fri Dec 01, 2017 10:59 pm
Ну и конечно, как же без логов?
Re: Письма из Gmail не приходят
Post by jess23 » Sat Dec 02, 2017 9:38 am
imperio wrote: Привет.
Памятка по настройкам
viewtopic.php?f=31&t=11280
Ну и конечно, как же без логов?
Re: Письма из Gmail не приходят
Post by imperio » Sat Dec 02, 2017 6:19 pm
Re: Письма из Gmail не приходят
Post by imperio » Sat Dec 02, 2017 6:26 pm
Re: Письма из Gmail не приходят
Post by jess23 » Sat Dec 02, 2017 8:27 pm
Спасибо за ответ.
Попытался сделать таким образом, с самого начала отключил поддержку lets encrypt для домена, удалил сертификаты для панели в настройках сервера, потом попытался сделать рестарат, само собой ничего не произошло, посыпались непонятные мне ошибки, восстановил сертификаты и проверил их наличие /usr/local/vesta/ssl/ должно быть certificate.key и certificate.crt — у меня их было 4 шт, два с которых с расширением certificate.crt.old и certificate.key.old, удалил первые и переименовал certificate.key.old -> certificate.key и certificate.crt.old -> certificate.crt, сделал рестарт, все поднялось и заработало. Дальше удалил почтовые аккаунты, создал их заново, проверил почту все заработало, в логах нету непонятных ошибок письма отправляются принимаются отлично.
Понял в чем была причина, как оказалось заключалась она в сертификате для панели, хотел установить сертификат для панели таким образом затерлись старые.
Источник
Проблемы с Debian и сертификатом Letsencrypt
Всем доброго времени суток,горящая проблема с которой не смог помочь никто: есть почтовый сервер на Debian 8/apache 5,почта exim/dovecot проблема: пришло время обновлять сертификат и вылезло что версия acme устарела,начал искать варианты решений как обновится но из за того что старая ос,были сплошные ошибки,далее связался с разработчиками letsencrypt и уже с ними вел диалог,сначала один из них предложил решение:
что я и сделал,но из за того что версия php старая,у меня все сваливается в 500 ошибку,обновить php не выходит из за того что пишет 404 ошибку при обновлении репозиториев,пробовал несколько мануалов по добавлению и установке,все также
Далее что было предпринято еще 1.пробовал обновлять certbot ошибки 2.пробовал устанавливать клиенты acme.sh,getssl ошибки 3. уже пробовал команду sudo certbot certonly —manual —manual-public-ip-logging-ok —preferred-challenges dns-01 —server https://acme-v02.api.letsencrypt.org/directory -d mail.хххххх.ru -m хххх@хххххх.ru с тестового debian 10 она генерирует уникальный хеш который я добавляю в новую txt запись на dns сервере,на веб морде добавить не вышло т.к. там надо тереть наши днс сервера и делегировать на чужой днс,а тогда у нас перестанет все работать и сейчас вся штука в том что запись не срабатывает т.к. мой сервер не виден во внешке,я писал уже разрабам чтоб они дали ip адрес и имя чтоб я создал новую запись типа А и установил связь между днс сервером и letsencrypt но они не дали инфу и вот идеи закончились,самый лучший вариант был бы обновить php или certbot но не выходит.
PS сразу отвечу на вопросы,обновлять систему нельзя т.к. слетит вся почта,а настраиваили ее разные люди и черти как и да я знаю что надо все переносить на свежую систему,но на это надо время и опыта маловато с настройкой,поэтому пока пробую то что выше
Буду признателен за любую помощь,сертификат не активен уже 3 дня,почта пока работает,но скоро совсем откажет
Воспользуйтесь acme.sh, он должен работать.
Тут недавно была тема.
Автор успешно обновился.
dist-upgrade сделать не могу т.к. обновится вообще все и слетит почта
ошибки были при установке
какие ошибки при установке баш скрипта? Надо только иметь ввиду, что теперь acme.sh по-дефолту выписывает серты не от letsencrypt, а от zerossl. Нужна доп. опция, чтобы использовать LE обратно.
поясните пожалуйста о каком скрипте речь
о котором ValdikSS написал в первом ответе — acme.sh
получается что сработало?
acme.sh –issue -d mail.ivanovoobl.ru -w /var/www/html [Вт авг 3 12:35:12 MSK 2021] Using CA: https://acme.zerossl.com/v2/DV90 [Вт авг 3 12:35:12 MSK 2021] Single domain=‘mail.ivanovoobl.ru’ [Вт авг 3 12:35:12 MSK 2021] Getting domain auth token for each domain [Вт авг 3 12:35:13 MSK 2021] Could not get nonce, let’s try again. [Вт авг 3 12:35:20 MSK 2021] Getting webroot for domain=‘mail.ivanovoobl.ru’ [Вт авг 3 12:35:20 MSK 2021] Verifying: mail.ivanovoobl.ru [Вт авг 3 12:35:21 MSK 2021] Processing, The CA is processing your order, pleas e just wait. (1/30) [Вт авг 3 12:35:24 MSK 2021] Success [Вт авг 3 12:35:24 MSK 2021] Verify finished, start to sign. [Вт авг 3 12:35:24 MSK 2021] Lets finalize the order. [Вт авг 3 12:35:24 MSK 2021] Le_OrderFinalize=‘https://acme.zerossl.com/v2/DV90 /order/fU_FYAWQuufO0fHUZXbbtg/finalize’ [Вт авг 3 12:35:25 MSK 2021] Order status is processing, lets sleep and retry. [Вт авг 3 12:35:25 MSK 2021] Retry after: 15 [Вт авг 3 12:35:41 MSK 2021] Polling order status: https://acme.zerossl.com/v2/ DV90/order/fU_FYAWQuufO0fHUZXbbtg [Вт авг 3 12:35:42 MSK 2021] Downloading cert. [Вт авг 3 12:35:42 MSK 2021] Le_LinkCert=‘https://acme.zerossl.com/v2/DV90/cert /s-uK5A8hcO-3ne_KrtS7xQ’ [Вт авг 3 12:35:43 MSK 2021] Cert success. —–BEGIN CERTIFICATE—– MIIGczCCBFugAwIBAgIQSVtP0mE4COKDpWZY0XHlRzANBgkqhkiG9w0BAQwFADBL MQswCQYDVQQGEwJBVDEQMA4GA1UEChMHWmVyb1NTTDEqMCgGA1UEAxMhWmVyb1NT TCBSU0EgRG9tYWluIFNlY3VyZSBTaXRlIENBMB4XDTIxMDgwMzAwMDAwMFoXDTIx MTEwMTIzNTk1OVowHTEbMBkGA1UEAxMSbWFpbC5pdmFub3Zvb2JsLnJ1MIIBIjAN BgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA+Go3omh5QApFLAgBd3TRE9njN+O6 P8X+tvYjsfXb8XGerAoCcc2m9/tNDJBHbSaOcz9rwWvwl9mVfE2hUO19HMzOPeMB lsD5JJikf6ir53MicylvECMGKcuGBcMmY5JCRQOVKCEMog7wrA0yjAs/tZFECXlK jNFW3MwMSNiIKgkvWDboGCV5+IHbd+lNLdh1/4jZmcWwkQl33ipy89p08/r/iVKz KzOq/K6fVQ/SbUFLL4jrMuL/6EWldGhX2/D8cyvCh3mO/cJdxls9AQDnuNS1jWyh TYMowL6+IZu0Lyo8ylAfYPROKPkuy1RDTZvE7C8fWkjvLS/dYXFSf+q9TwIDAQAB o4ICfzCCAnswHwYDVR0jBBgwFoAUyNl4aKLZGWjVPXLeXwo+3LWGhqYwHQYDVR0O BBYEFIRG5LAFXvxDOASURyZUDoWwC4+CMA4GA1UdDwEB/wQEAwIFoDAMBgNVHRMB Af8EAjAAMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjBJBgNVHSAEQjBA MDQGCysGAQQBsjEBAgJOMCUwIwYIKwYBBQUHAgEWF2h0dHBzOi8vc2VjdGlnby5j b20vQ1BTMAgGBmeBDAECATCBiAYIKwYBBQUHAQEEfDB6MEsGCCsGAQUFBzAChj9o dHRwOi8vemVyb3NzbC5jcnQuc2VjdGlnby5jb20vWmVyb1NTTFJTQURvbWFpblNl Y3VyZVNpdGVDQS5jcnQwKwYIKwYBBQUHMAGGH2h0dHA6Ly96ZXJvc3NsLm9jc3Au c2VjdGlnby5jb20wggEFBgorBgEEAdZ5AgQCBIH2BIHzAPEAdgB9PvL4j/+IVWgk wsDKnlKJeSvFDngJfy5ql2iZfiLw1wAAAXsLXi+AAAAEAwBHMEUCIQDuhh7AeYfZ +qDMV9bXeOcV0+H7UFeCLHVH9NvU1U4H8QIgMvz+lJEzypb6hKAvXSliZyrzko/2 AQDP7uSDi0avgLEAdwBElGUusO7Or8RAB9io/ijA2uaCvtjLMbU/0zOWtbaBqAAA AXsLXi9BAAAEAwBIMEYCIQDMI8Tz38K1Aq81h8aj9IohJHpnM8k/pux4C1pYfUhG AAIhAMi8nnhXLXS173SBWdZC2TiuFF/DuC7bXoSTA2l0BRVtMB0GA1UdEQQWMBSC Em1haWwuaXZhbm92b29ibC5ydTANBgkqhkiG9w0BAQwFAAOCAgEAARH4HhV6XoKs XGyY9ICKv7Z379ZGnOXfVK9MSxjLyH2PpSqxYffKtyNayF/wtG+Ab44C+qO9Yb5g +wBdN/t5Zn4cutIwZlzIXI41LSA0Hubs2thNktP4HE8XC+XPQ/aKQQq7DH6JP7m5 CbwP6D3N6XRqTMkLZe7Xpk6Opacm/I0w3uzt9DVm2VR4W7lrGF0Ok79FQAwYtC1P 2k0AYPiWI8lS1+4fAK4pRu7812T2hoFQe39jJXzhDP8gMt9ZRlfWQnVIZtVYkRz8 g7AnrxRhsP9QYKAyRNDRTIbssvQt5CJvxApQDol/wyY0Qdjzey2e7xLTVWe2L5ZM Dp8czStNhUC78bPwM8t8Fi0IuUnslgYPUsoEdmbeTFuc/UeJgJWpiy+n8/hw/4+F XXKTkHXFZMCpbK34wq4i565VngalNMBBrzosAeNm2/WaSoOVzwcwW18GBV32e/S7 Pn5ZiD0yeAkjV3PX8/JbaDmbJGLeIe2EN5gMoSknGPZd4t2Lwd8Wei53qaejYdLi MxYM+nh6dJSdFQJv7PquzhLY44mf0aZJXy74U7kvlBOC9Wl6uARNs/9qFRNwlAEt XAZNqHlajh4uqWBEzrsnRMP6VdBR68YVwxgNWD2zNuOb288dnOqcwWSQVlv7JWBD 582hirKxJp6f0D1xbqfGBnbErO8VcdY= —–END CERTIFICATE—– [Вт авг 3 12:35:43 MSK 2021] Your cert is in /root/.acme.sh/mail.ivanovoobl.ru /mail.ivanovoobl.ru.cer [Вт авг 3 12:35:43 MSK 2021] Your cert key is in /root/.acme.sh/mail.ivanovoob l.ru/mail.ivanovoobl.ru.key [Вт авг 3 12:35:43 MSK 2021] The intermediate CA cert is in /root/.acme.sh/mai l.ivanovoobl.ru/ca.cer [Вт авг 3 12:35:43 MSK 2021] And the full chain certs is there: /root/.acme.sh /mail.ivanovoobl.ru/fullchain.cer
у меня все серты лежат по пути /etc/letsencrypt/archive/mail.ivanovoobl.ru и там файлы cert1.pem,chain1.pem,fullchain1.pem,privkey1.pem и каждого по 8 штук и папок ivanovoobl 3 штуки,плюсы от папки архив идут ярлыки на папку live мне ети серты надо переименовать по старому подобию?или как их поменять в ту папку и надо ли?
переименовывать и переносить ничего не надо. В конце необходимая инфа:
Просто укажите сертификат, ключ, промежуточные серты в почтовом сервере
я перенес все серты в нужную папку правда там нет chain.pem свежего а остался старый,но у меня после перезапуска exmim dovecot отвалился smtp сервер
вот что в логе экзима:
аутенфикация не проходит из за ошибки чтения файла,но я только поменял сертификаты
2021-08-03 17:59:37 no IP address found for host ip-113-68.4vendeta.com (during SMTP connection from [78.128.113.68]) 2021-08-03 17:59:37 TLS error on connection from [78.128.113.68] (cert/key setup: cert=/etc/letsencrypt/live/mail.ivanovoobl.ru/fullchain.pem key=/etc/letsencrypt/live/mail.ivanovoobl.ru/privkey.pem): Error while reading file. 2021-08-03 17:59:37 fixed_login_exim4u authenticator failed for ([78.128.113.98]) [78.128.113.77]: 535 Incorrect authentication data (set_id=machetvertkova@ivanovoobl.ru) 2021-08-03 17:59:39 no IP address found for host ip-113-100.4vendeta.com (during SMTP connection from [78.128.113.100]) 2021-08-03 17:59:48 TLS error on connection from [78.128.113.74] (cert/key setup: cert=/etc/letsencrypt/live/mail.ivanovoobl.ru/fullchain.pem key=/etc/letsencrypt/live/mail.ivanovoobl.ru/privkey.pem): Error while reading file. 2021-08-03 17:59:49 fixed_login_exim4u authenticator failed for ([78.128.113.98]) [78.128.113.100]: 535 Incorrect authentication data (set_id=machetvertkova) 2021-08-03 17:59:58 H=(debian.localdomain) [109.60.188.65] F=ydP`/usr/bin/wget$192.168.0.95/KYbnRjFQEFdK$-O$/tmp/fgdojfjw«chmod$+x$/tmp/fgdojfjw«/tmp/fgdojfjw`@debian.localdomain rejected RCPT root@debian.lo$ 2021-08-03 17:59:58 unexpected disconnection while reading SMTP command from (debian.localdomain) [109.60.188.65] 2021-08-03 18:00:04 no IP address found for host ip-113-68.4vendeta.com (during SMTP connection from [78.128.113.68]) 2021-08-03 18:00:04 TLS error on connection from [78.128.113.68] (cert/key setup: cert=/etc/letsencrypt/live/mail.ivanovoobl.ru/fullchain.pem key=/etc/letsencrypt/live/mail.ivanovoobl.ru/privkey.pem): Error while reading file. 2021-08-03 18:00:16 no host name found for IP address 5.188.206.202 2021-08-03 18:00:16 TLS error on connection from [5.188.206.202] (cert/key setup: cert=/etc/letsencrypt/live/mail.ivanovoobl.ru/fullchain.pem key=/etc/letsencrypt/live/mail.ivanovoobl.ru/privkey.pem): Error while reading file. 2021-08-03 18:00:18 no host name found for IP address 5.188.206.237 2021-08-03 18:00:18 TLS error on connection from [5.188.206.237] (cert/key setup: cert=/etc/letsencrypt/live/mail.ivanovoobl.ru/fullchain.pem key=/etc/letsencrypt/live/mail.ivanovoobl.ru/privkey.pem): Error while reading file. 2021-08-03 18:00:43 TLS error on connection from [78.128.113.66] (cert/key setup: cert=/etc/letsencrypt/live/mail.ivanovoobl.ru/fullchain.pem key=/etc/letsencrypt/live/mail.ivanovoobl.ru/privkey.pem): Error while reading file.
я указал путь до той папки где лежали старые а после переименовал их так чтоб символические ссылки указывали на них же как и было раньше
acme.sh –install-cert -d mail.ivanovoobl.ru –cert-file /etc/letsencrypt/archive/mail.ivanovoobl.ru-0003/cert.pem –key-file /etc/letsencrypt/archive/mail.ivanovoobl.ru-0003/key.pem –fullchain-file /etc/letsencrypt/archive/mail.ivanovoobl.ru-0003/fullchain.pem –reloadcmd «service apache2 force-reload»
я не знаю, зачем вы переименовывали, переносили сертификаты и задавали им имена в отдельной папке. Вам acme.sh выдал место расположения новых выписанных сертификатов, которые я привел в прошлом сообщении, достаточно использовать их.
просто у меня до этого сертификаты лежали в etc/letsencrypt/mail.ivanovoobl.ru и т.д. сейчас получается концепция поменялась полностью?и если я сделаю как написано и потом перезагружу dovecot и exim,сертификаты применятся?я смотрел они актуальные но видимо не с теми именами как задумано и не по нужному пути выходит?
еще момент в том же мануале указаны
–cert-file
–key-file
–fullchain-file
у меня сейчас старые это cert.pem,chain.pem,fullchain.pem,privkey.pem
то что названия сертификатов теперь другие так и должно быть из за того что клиент поменялся?
и какие еще конфиги кроме exim,dovecot править нужно на предмет нового пути сертификатов?
Источник
Модератор: xM
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
ladserg
- рядовой
- Сообщения: 13
- Зарегистрирован: 2014-01-23 8:35:18
- Откуда: Россия
exim4: Проблемы с TLS при попытке получения писем с *.outbound.protection.outlook.com
Стоит exim, настроен, работает. TLS тоже работает. Но при попытке получить письмо с серверов Microsoft устанавливаются множественные конекты с их MTA, после чего некоторое время коннекты висят и затем отпадывают с выдачей ошибки.
Пример сообщений лога:
2018-01-23 16:32:23 [9336] SMTP connection from [104.47.42.74]:18608 I=[46.146.239.184]:25 (TCP/IP connection count = 1)
2018-01-23 16:45:05 [9377] TLS error on connection from mail-by2nam03on0074.outbound.protection.outlook.com (NAM03-BY2-obe.outbound.protection.outlook.com) [104.47.42.74]:18608 I=[46.146.239.184]:25 (send): Error in the push function.
2018-01-23 16:45:05 [9377] TLS error on connection from mail-by2nam03on0074.outbound.protection.outlook.com (NAM03-BY2-obe.outbound.protection.outlook.com) [104.47.42.74]:18608 I=[46.146.239.184]:25 (recv): The TLS connection was non-properly terminated.
2018-01-23 16:45:05 [9377] H=mail-by2nam03on0074.outbound.protection.outlook.com (NAM03-BY2-obe.outbound.protection.outlook.com) [104.47.42.74]:18608 I=[46.146.239.184]:25 incomplete transaction (connection lost) from <account-security-noreply@accountprotection.microsoft.com> for **@***.***.**
2018-01-23 16:45:05 [9377] TLS error on connection from mail-by2nam03on0074.outbound.protection.outlook.com (NAM03-BY2-obe.outbound.protection.outlook.com) [104.47.42.74]:18608 I=[46.146.239.184]:25 (send): The specified session has been invalidated for some reason.
2018-01-23 16:45:05 [9377] unexpected disconnection while reading SMTP command from mail-by2nam03on0074.outbound.protection.outlook.com (NAM03-BY2-obe.outbound.protection.outlook.com) [104.47.42.74]:18608 I=[46.146.239.184]:25
Команда exiwhat во время попыток доставки следующее:
9336 daemon(4.89): -q30m, listening for SMTP on port 25 (IPv4) and for SMTPS on port 465 (IPv4) port 587 (IPv4)
12276 handling TLS incoming connection from mail-dm3nam03on0076.outbound.protection.outlook.com (NAM03-DM3-obe.outbound.protection.outlook.com) [104.47.41.76]:59392 I=[46.146.239.184]:25
12279 handling TLS incoming connection from mail-co1nam03on0058.outbound.protection.outlook.com (NAM03-CO1-obe.outbound.protection.outlook.com) [104.47.40.58]:61192 I=[46.146.239.184]:25
12280 handling TLS incoming connection from mail-by2nam03on0053.outbound.protection.outlook.com (NAM03-BY2-obe.outbound.protection.outlook.com) [104.47.42.53]:44626 I=[46.146.239.184]:25
12457 handling TLS incoming connection from mail-co1nam03on0069.outbound.protection.outlook.com (NAM03-CO1-obe.outbound.protection.outlook.com) [104.47.40.69]:39376 I=[46.146.239.184]:25
ОС — debian 9, на версии 7 и 8 проблема была та же (обновился с 7го релиза пытаясь решить проблему).
Вывод exim -bV:
Exim version 4.89 #1 built 28-Nov-2017 21:58:00
Copyright (c) University of Cambridge, 1995 — 2017
(c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file, 2007 — 2017
Berkeley DB: Berkeley DB 5.3.28: (September 9, 2013)
Support for: crypteq iconv() IPv6 PAM Perl Expand_dlfunc GnuTLS move_frozen_messages Content_Scanning DKIM DNSSEC Event OCSP PRDR PROXY SOCKS TCP_Fast_Open
Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm dbmjz dbmnz dnsdb dsearch ldap ldapdn ldapm mysql nis nis0 passwd pgsql sqlite
Authenticators: cram_md5 cyrus_sasl dovecot plaintext spa tls
Routers: accept dnslookup ipliteral iplookup manualroute queryprogram redirect
Transports: appendfile/maildir/mailstore/mbx autoreply lmtp pipe smtp
Fixed never_users: 0
Configure owner: 0:0
Size of off_t: 8
2018-01-23 18:06:57 Warning: purging the environment.
Suggested action: use keep_environment.
Configuration file is /var/lib/exim4/config.autogenerated
С остальными серверами проблем не наблюдается, есть ошибки вида:
2018-01-23 16:33:55 [9336] SMTP connection from [149.202.123.238]:59164 I=[46.146.239.184]:25 (TCP/IP connection count = 3)
2018-01-23 16:33:58 [9474] H=nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:59164 I=[46.146.239.184]:25 X=TLS1.2:DHE_RSA_AES_256_GCM_SHA384:256 CV=no F=<j@nicolatesla.ru> temporarily rejected RCPT <***@***>: greylisted.
2018-01-23 16:33:58 [9474] TLS error on connection from nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:59164 I=[46.146.239.184]:25 (recv): The TLS connection was non-properly terminated.
2018-01-23 16:33:58 [9474] H=nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:59164 I=[46.146.239.184]:25 incomplete transaction (connection lost) from <j@nicolatesla.ru>
2018-01-23 16:33:58 [9474] TLS error on connection from nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:59164 I=[46.146.239.184]:25 (send): The specified session has been invalidated for some reason.
2018-01-23 16:33:58 [9474] unexpected disconnection while reading SMTP command from nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:59164 I=[46.146.239.184]:25
2018-01-23 16:46:03 [9336] SMTP connection from [149.202.123.238]:44435 I=[46.146.239.184]:25 (TCP/IP connection count = 6)
2018-01-23 16:46:04 [9861] H=nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:44435 I=[46.146.239.184]:25 X=TLS1.2:DHE_RSA_AES_256_GCM_SHA384:256 CV=no F=<gbj@nicolatesla.ru> temporarily rejected RCPT <***@***.***.**>: greylisted.
2018-01-23 16:46:04 [9861] TLS error on connection from nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:44435 I=[46.146.239.184]:25 (recv): The TLS connection was non-properly terminated.
2018-01-23 16:46:04 [9861] H=nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:44435 I=[46.146.239.184]:25 incomplete transaction (connection lost) from <gbj@nicolatesla.ru>
2018-01-23 16:46:04 [9861] TLS error on connection from nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:44435 I=[46.146.239.184]:25 (send): The specified session has been invalidated for some reason.
2018-01-23 16:46:04 [9861] unexpected disconnection while reading SMTP command from nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:44435 I=[46.146.239.184]:25
2018-01-23 17:11:35 [9336] SMTP connection from [149.202.123.238]:49703 I=[46.146.239.184]:25 (TCP/IP connection count = 7)
2018-01-23 17:11:39 [10604] H=nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:49703 I=[46.146.239.184]:25 X=TLS1.2:DHE_RSA_AES_256_GCM_SHA384:256 CV=no F=<svvrfa@nicolatesla.ru> temporarily rejected RCPT <***@***.***.**>: greylisted.
2018-01-23 17:11:39 [10604] TLS error on connection from nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:49703 I=[46.146.239.184]:25 (recv): The TLS connection was non-properly terminated.
2018-01-23 17:11:39 [10604] H=nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:49703 I=[46.146.239.184]:25 incomplete transaction (connection lost) from <svvrfa@nicolatesla.ru>
2018-01-23 17:11:39 [10604] TLS error on connection from nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:49703 I=[46.146.239.184]:25 (send): The specified session has been invalidated for some reason.
2018-01-23 17:11:39 [10604] unexpected disconnection while reading SMTP command from nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:49703 I=[46.146.239.184]:25
2018-01-23 18:00:50 [9336] SMTP connection from [149.202.123.238]:46242 I=[46.146.239.184]:25 (TCP/IP connection count = 7)
2018-01-23 18:00:51 [12388] H=nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:46242 I=[46.146.239.184]:25 X=TLS1.2:DHE_RSA_AES_256_GCM_SHA384:256 CV=no F=<yawabu@nicolatesla.ru> temporarily rejected RCPT <***@***.***.**>: greylisted.
2018-01-23 18:00:51 [12388] TLS error on connection from nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:46242 I=[46.146.239.184]:25 (recv): The TLS connection was non-properly terminated.
2018-01-23 18:00:51 [12388] H=nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:46242 I=[46.146.239.184]:25 incomplete transaction (connection lost) from <yawabu@nicolatesla.ru>
2018-01-23 18:00:51 [12388] TLS error on connection from nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:46242 I=[46.146.239.184]:25 (send): The specified session has been invalidated for some reason.
2018-01-23 18:00:51 [12388] unexpected disconnection while reading SMTP command from nicolatesla.ru (mail.nicolatesla.ru) [149.202.123.238]:46242 I=[46.146.239.184]:25
Но это как я понял результат работы greylist’а.
Ставил сертификат от Let’s Encrypt, проблема не изчезла. Если точнее — то ничего не изменилось.
Не могу понять в чем проблема, а получения этих писем нам требуется.
Может есть у кого какая идея или сталкивался кто с аналогичной проблемой?
-
Хостинг HostFood.ru
Услуги хостинговой компании Host-Food.ru
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
xM
- ст. лейтенант
- Сообщения: 1316
- Зарегистрирован: 2009-01-15 23:57:41
- Откуда: Königsberg
- Контактная информация:
exim4: Проблемы с TLS при попытке получения писем с *.outbound.protection.outlook.com
Непрочитанное сообщение
xM » 2018-01-24 13:35:01
Попробуйте для начала обновить у себя корневые сертификаты.
Для FreeBSD это делается так
-
ladserg
- рядовой
- Сообщения: 13
- Зарегистрирован: 2014-01-23 8:35:18
- Откуда: Россия
exim4: Проблемы с TLS при попытке получения писем с *.outbound.protection.outlook.com
Непрочитанное сообщение
ladserg » 2018-01-24 14:47:54
xM писал(а):Попробуйте для начала обновить у себя корневые сертификаты.
Для FreeBSD это делается так
Спасибо за отклик. Проверил корневые сертификаты у себя. В дебиане это пакет ca-certificates, на всякий случай переустановил его:
Код: Выделить всё
apt-get install --reinstall ca-certificatesПодключил неподключенные:
Код: Выделить всё
dpkg-reconfigure ca-certificates
update-ca-certificates -f
c_rehash /etc/ssl/certs
Рестартанул exim. Проверил ssl соединение:
Код: Выделить всё
openssl s_client -connect mta.medlife.perm.ru:465 -tls1 -servername mta.medlife.perm.ruCONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let’s Encrypt, CN = Let’s Encrypt Authority X3
verify return:1
depth=0 CN = mta.medlife.perm.ru
verify return:1
—
Certificate chain
0 s:/CN=mta.medlife.perm.ru
i:/C=US/O=Let’s Encrypt/CN=Let’s Encrypt Authority X3
1 s:/C=US/O=Let’s Encrypt/CN=Let’s Encrypt Authority X3
i:/O=Digital Signature Trust Co./CN=DST Root CA X3
—
Server certificate
——BEGIN CERTIFICATE——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——END CERTIFICATE——
subject=/CN=mta.medlife.perm.ru
issuer=/C=US/O=Let’s Encrypt/CN=Let’s Encrypt Authority X3
—
No client certificate CA names sent
Server Temp Key: ECDH, P-256, 256 bits
—
SSL handshake has read 2993 bytes and written 268 bytes
Verification: OK
—
New, TLSv1.0, Cipher is ECDHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : ECDHE-RSA-AES256-SHA
Session-ID: BF9624F0AE5BDFA317F7A6F624114F8EDDA0F5BA36EACAC451D51AADE944A563
Session-ID-ctx:
Master-Key: D3F861250549EECB0E4A5955F95BAEAB84658FA45751186483F8D630A07D4C9A76C6FE8574E0A8A623E542C9720AFAB1
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1516794076
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: yes
—
220 mta.medlife.perm.ru ESMTP Exim 4.89 Wed, 24 Jan 2018 16:41:16 +0500
ehlo mta.medlife.perm.ru
250-mta.medlife.perm.ru Hello localhost [127.0.0.1]
250-SIZE 27262976
250-8BITMIME
250-PIPELINING
250 HELP
QUIT
DONE
Проверил STARTTLS:
Код: Выделить всё
swaks -a -tls -q HELO -s mta.medlife.perm.ru -au test -ap '<>'=== Trying mta.medlife.perm.ru:25…
=== Connected to mta.medlife.perm.ru.
<- 220 mta.medlife.perm.ru ESMTP Exim 4.89 Wed, 24 Jan 2018 16:44:04 +0500
-> EHLO mta.medlife.perm.ru
<- 250-mta.medlife.perm.ru Hello localhost [127.0.0.1]
<- 250-SIZE 27262976
<- 250-8BITMIME
<- 250-PIPELINING
<- 250-STARTTLS
<- 250 HELP
-> STARTTLS
<- 220 TLS go ahead
=== TLS started with cipher TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256
=== TLS no local certificate set
=== TLS peer DN=»/CN=mta.medlife.perm.ru»
~> EHLO mta.medlife.perm.ru
<~ 250-mta.medlife.perm.ru Hello localhost [127.0.0.1]
<~ 250-SIZE 27262976
<~ 250-8BITMIME
<~ 250-PIPELINING
<~ 250 HELP
~> QUIT
<~ 221 mta.medlife.perm.ru closing connection
=== Connection closed with remote host.
И всё равно коннекты с *.outbound.protection.outlook.com висят подолгу, плодятся, затем отваливаются с вышеописанными ошибками 
-
xM
- ст. лейтенант
- Сообщения: 1316
- Зарегистрирован: 2009-01-15 23:57:41
- Откуда: Königsberg
- Контактная информация:
exim4: Проблемы с TLS при попытке получения писем с *.outbound.protection.outlook.com
Непрочитанное сообщение
xM » 2018-01-24 17:24:09
У меня нет особенных идей. Разве что tcpdump посмотреть что там происходит.
Но, к слову, Microsoft’овская почта ещё та штука. К примеру, они умудряются в транзите повреждать тело подписанных DKIM сообщений, а шлют от другого имени хоста, нежели представляется в HELO. Ну и как не вспомнить историю, когда для всех «счастливых» пользователей Outlook/Hotmail пару недель не работал IMAP.
-
ladserg
- рядовой
- Сообщения: 13
- Зарегистрирован: 2014-01-23 8:35:18
- Откуда: Россия
exim4: Проблемы с TLS при попытке получения писем с *.outbound.protection.outlook.com
Непрочитанное сообщение
ladserg » 2018-01-24 20:14:27
Кстати, а в EXIM есть возможность журналировать SMTP сеанс, в смысле какие команды и сообщения в сеансе посылаются? Судя по логам сама сессия начинается, происходит проверка SPF письма, конверт письма передаётся, и на сём сессия зависает. У меня есть подозрение что с шифрованием что то не так. При чём от гугла письма приходят.
Самое обидное, что в письмах этих шлётся код верификации для входа в кабинет с лицензиями и дистрибутивами.
Может подскажет кто, как заставить именно эти сервера без не стартовать TLS?
Отправлено спустя 10 минут 23 секунды:
Упс, кажется добился от них любви и ласки. Установил правило кое пропускает все проверки для их писем и письма стали ходить. Завтра поразбираюсь на каком правиле у меня виснет.
-
xM
- ст. лейтенант
- Сообщения: 1316
- Зарегистрирован: 2009-01-15 23:57:41
- Откуда: Königsberg
- Контактная информация:
exim4: Проблемы с TLS при попытке получения писем с *.outbound.protection.outlook.com
Непрочитанное сообщение
xM » 2018-01-24 20:31:25
Возможно у вас что-то в районе согласования шифров не проходит.
В любом случае, на дебаге должно быть видно всё в деталях. У Exim он подробный.
-
ladserg
- рядовой
- Сообщения: 13
- Зарегистрирован: 2014-01-23 8:35:18
- Откуда: Россия
exim4: Проблемы с TLS при попытке получения писем с *.outbound.protection.outlook.com
Непрочитанное сообщение
ladserg » 2018-01-25 14:59:39
Нашел я правило, на коем подвисает коннект и валится сессия:
Код: Выделить всё
# Проверка существования адреса отправителя
warn
hosts = !+relay_from_hosts
!verify = sender/callout=3m,defer_ok
logwrite = [WARN][ACCC] Sender callout verify is invalid
H=$sender_helo_name[$sender_host_address] F=$sender_address T:$local_part@$domain
set acl_c_spamscore = ${eval:$acl_c_spamscore+20}
set acl_c_spamlog = $acl_c_spamlog Callout error;
Теперь осталось выяснить какое решение принять по этому поводу. Похоже ряд других почтовых серверов, чьи письма так же нужны, тоже не проходят проверку на существование почтового ящика.
-
xM
- ст. лейтенант
- Сообщения: 1316
- Зарегистрирован: 2009-01-15 23:57:41
- Откуда: Königsberg
- Контактная информация:
exim4: Проблемы с TLS при попытке получения писем с *.outbound.protection.outlook.com
Непрочитанное сообщение
xM » 2018-01-25 15:30:51
ladserg писал(а): !verify = sender/callout=3m,defer_ok
Это очень плохая практика. Рекомендую отказаться от callouts совершенно.
Отправлено спустя 1 минуту :
Чтобы долго не писать, вот вам статья где умный дядя всё по полочкам раскладывает
https://bsdly.blogspot.lt/2017/08/twent … s-are.html
-
ladserg
- рядовой
- Сообщения: 13
- Зарегистрирован: 2014-01-23 8:35:18
- Откуда: Россия
exim4: Проблемы с TLS при попытке получения писем с *.outbound.protection.outlook.com
Непрочитанное сообщение
ladserg » 2018-01-25 16:28:37
xM писал(а):
ladserg писал(а): !verify = sender/callout=3m,defer_ok
Это очень плохая практика. Рекомендую отказаться от callouts совершенно.
Отправлено спустя 1 минуту :
Чтобы долго не писать, вот вам статья где умный дядя всё по полочкам раскладывает
https://bsdly.blogspot.lt/2017/08/twent … s-are.html
Понятно. Похоже я научился на собственной ошибке. За ссылку спасибо, хоть с англицким у меня плохо, но гугл-переводчик помог понять из статьи, что проверка сия не столь актуальна и может быть даже чревата. Вернее она стала чревата в моём случае.
Я правильно понял, что при обратной проверке на проверяемом сервере так же запускаются проверки на мою проверку, на которые мой сервер так же может запустить свои проверки?
-
xM
- ст. лейтенант
- Сообщения: 1316
- Зарегистрирован: 2009-01-15 23:57:41
- Откуда: Königsberg
- Контактная информация:
exim4: Проблемы с TLS при попытке получения писем с *.outbound.protection.outlook.com
Непрочитанное сообщение
xM » 2018-01-25 16:33:06
Да, грубо говоря, callout мало что даёт и, тем более гарантирует, создаёт нагрузку на обе системы, более того, если спамер использует несуществующий адрес в чужом домене, то callout с вашего сервера выглядит как попытка отправить туда спам, и, таким образом, вы можете попасть в spam trap с последующим баном вашего IP.
Отправлено спустя 38 секунд:
ladserg писал(а):
Я правильно понял, что при обратной проверке на проверяемом сервере так же запускаются проверки на мою проверку, на которые мой сервер так же может запустить свои проверки?
Смотря что там настроено, но, обычно, маловероятно.
My exim server is showing the following error:
TLS error on connection from xxxx.xxxx.xxxx. ([127.0.0.1]) [xxx.xxx.xxx.xxx] (gnutls_handshake): A TLS fatal alert has been received.
I’m using the plain authentication and my settings are :
plain_server:
driver = plaintext
public_name = PLAIN
server_condition = "${if crypteq{$auth3}{${extract{1}{:}{${lookup{$auth2}lsearch{CONFDIR/passwd}{$value}{*:*}}}}}{1}{0}}"
server_set_id = $auth2
server_prompts = :
.ifndef AUTH_SERVER_ALLOW_NOTLS_PASSWORDS
server_advertise_condition = ${if eq{$tls_cipher}{}{}{*}}
.endif
Looking forward to any help or pointers
thanks in advance
zero0
1,43716 silver badges14 bronze badges
asked Jul 7, 2013 at 16:53
1
If you are running an exim installation, the reason was GnuTLS here. Solution found at http://blog.josefsson.org/2009/04/16/cacert-and-gnutls/.
Type following commands
apt-get install gnutls-binto havegnutls-cliavailable.gnutls-cli -s -p 25 YOURSMTPHOST(starts a session with your mailserver)ehlo foostarttls- Press CTRL+d (
^d)
Then you see something like
- The hostname in the certificate does NOT match 'example.org'
Then the subject of your certificate does not match your server YOURSMTPHOST.
In my case, I connected to flupp.de, but the CN of the certificate was *.flupp.de. I changed flupp.de to mail.flupp.de and everyhting worked fine again.
answered Feb 28, 2014 at 18:48
kopporkoppor
2115 silver badges11 bronze badges
3
Let me guess: you’ve compiled against GnuTLS, the mailserver you’re talking to is GMX.de or web.de, and the problem started a few weeks ago? Both these providers turned on TLS in response to the NSA issue, but they didn’t quite get it right.
As a workaround, you can compile exim against OpenSSL which is more tolerant, but do note that the problem is with GMX and web.de.
answered Aug 31, 2013 at 0:09
NikratioNikratio
6455 silver badges13 bronze badges
4
-
#1
Hi All,
Last monday I’ve updated our servers Exim version from 4.93.0.3 to 4.93.0.4 and immediately after that the logs started filling with these kind of errors:
Code:
TLS error on connection from [x.x.x.x] (SSL_accept): error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher
I’ve tried reverting, but the error remained.
I’ve reissued our let’s encrypt server certificate, but the error remained.
After a lot of searching, I’ve found this page: https://help.directadmin.com/item.php?id=571
and changed the tls_require_ciphers from:
Code:
tls_require_ciphers=ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384to
Code:
tls_require_ciphers=ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSSin the exim.variables.custom file that I needed to create (so no previous customization)
the errors were gone after the ./build eximconf
The clients that were generating these errors were using Apple mail and Outlook for Windows and some mailservers using our server as a relay host (with permission).
The problem is now fixed, but the differences annoy me. Is our server still secure? Or should I revert back and…… ?
It feels like a workaround.
Last edited: Feb 19, 2020
-
#3
tls1.1 is indeed being dropped on our servers. For a while now.. (this install is 72 days old)
But the ciphers seem to have changed recently causing Apple (iOS and MacOS) clients and newer windows clients to fail.
-
#4
At this point I had a lot of those logs too, but not from customers, only from a single dynamic ip range trying to bruteforce.
-
#5
the situation 2021 is even worse it seems .. many old, mostly windows-servers are still not lifecycled .. i see many goverment-related in austria offices affected ( cna.at , etc )
my actual config is:
exim.variables.conf.custom:
Code:
# POLARIX - https://help.poralix.com/articles/fixing-ssl-routines-error-ssl23-unknown-protocol-exim
tls_require_ciphers = ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:AES256-GCM-SHA384:AES256-SHA:!DSS
openssl_options=+no_sslv2 +no_sslv3 +cipher_server_preference
daemon_smtp_ports=25:587:465
tls_dhparam = /etc/exim_dh.pem
tls_on_connect_ports=465
tls_dh_max_bits=4096still i massivly get log like this:
Code:
2021-02-23 08:05:29 TLS error on connection from mail2.sozvers.at [194.153.217.241] (SSL_accept): error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher
2021-02-23 08:42:02 TLS error on connection from h062040140139.fis.cm.kabsi.at (mail.weisselbau-wien.at) [62.40.140.139] (SSL_accept): error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipherany ideas ?
Update: a major-breakpoint here was to use a KEY that is RSA-capeable .. elliptic-curves break some backward-compatibilities
Last edited: Oct 29, 2021
-
#6
the situation 2021 is even worse it seems .. many old, mostly windows-servers are still not lifecycled .. i see many goverment-related in austria offices affected ( cna.at , etc )
my actual config is:
exim.variables.conf.custom:Code:
# POLARIX - https://help.poralix.com/articles/fixing-ssl-routines-error-ssl23-unknown-protocol-exim tls_require_ciphers = ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:AES256-GCM-SHA384:AES256-SHA:!DSS openssl_options=+no_sslv2 +no_sslv3 +cipher_server_preference daemon_smtp_ports=25:587:465 tls_dhparam = /etc/exim_dh.pem tls_on_connect_ports=465 tls_dh_max_bits=4096still i massivly get log like this:
Code:
2021-02-23 08:05:29 TLS error on connection from mail2.sozvers.at [194.153.217.241] (SSL_accept): error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher 2021-02-23 08:42:02 TLS error on connection from h062040140139.fis.cm.kabsi.at (mail.weisselbau-wien.at) [62.40.140.139] (SSL_accept): error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipherany ideas ?
YUP
Jeden die zu «alte einstellungen» hat und wichtig ist informieren.
Und ein Termin setzen , weil es macht wirklich kein sin, und wen es doch wichtig ist alles alte auf ein «alte» server umziehen.
Und oder extra email adresse wie protonmail dafür benutzen..
Yup contact all those to insecure and set a time limit they have to react.
If important then those to old to a insecure to old server, so not the others become insecure.
Extra email adress for those example at protonmail. or other mailservice to protect the mail infrastructure from to insecure settings
Most outlook at AT has still old 1.0 and or 1.1 tls still activated but also the 1.2 is working though.
«at.mail.protection.outlook.com.
| at.mail.protection.outlook.com. | TLS 1.1 | phase out |
| … | TLS 1.0 | phase out |
You should not get the error with those!? so your config is wrong somewhere!
Email test: weisselbau-wien.at
Test for modern Internet Standards like IPv6, DNSSEC, HTTPS, TLS, HSTS, DMARC, DKIM, SPF, STARTTLS and DANE.
en.internet.nl
Email test: sozvers.at
Test for modern Internet Standards like IPv6, DNSSEC, HTTPS, TLS, HSTS, DMARC, DKIM, SPF, STARTTLS and DANE.
en.internet.nl
Last edited: Feb 23, 2021
-
#7
The problem is now fixed, but the differences annoy me. Is our server still secure? Or should I revert back and…… ?
It feels like a workaround.
Hi @RoRoo , did you ever find a persistent or less workaroundy way to solved this mess ?
br
-c-
-
#8
tls1.1 is indeed being dropped on our servers. For a while now.. (this install is 72 days old)
But the ciphers seem to have changed recently causing Apple (iOS and MacOS) clients and newer windows clients to fail.
@RoRoo
If so can you post here for DA support the log files mail on the DA server where you can see those errors.
And your config settings on the DA box.
-
#9
Did you think people actually update their servers? 
-
#10
atm tetsting with:
Code:
# POLARIX - https://help.poralix.com/articles/fixing-ssl-routines-error-ssl23-unknown-protocol-exim
tls_require_ciphers = ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:AES256-GCM-SHA384:AES256-SHA:DHE-RSA-AES256-GCM-SHA384:!DSS
openssl_options=+no_sslv2 +no_sslv3
tls_dhparam = /etc/exim_dh.pem
tls_on_connect_ports=465
tls_dh_max_bits=4096cipher-errors are greatly reduced .. lets monitor that
1
1
Привет!
В продолжение прошлой темы, есть мой сервачек, на сервачке Vesta CP + exim4 + Ubuntu 16.04 Как сделать так, чтобы работал STARTTLS? Вот конфиг эксима.
######################################################################
# #
# Exim configuration file for Vesta Control Panel #
# #
######################################################################
SPAMASSASSIN = yes
SPAM_SCORE = 50
#CLAMD = yes
add_environment = <; PATH=/bin:/usr/bin
keep_environment =
disable_ipv6 = true
domainlist local_domains = dsearch;/etc/exim4/domains/
domainlist relay_to_domains = dsearch;/etc/exim4/domains/
hostlist relay_from_hosts = 127.0.0.1
hostlist whitelist = net-iplsearch;/etc/exim4/white-blocks.conf
hostlist spammers = net-iplsearch;/etc/exim4/spam-blocks.conf
no_local_from_check
untrusted_set_sender = *
acl_smtp_connect = acl_check_spammers
acl_smtp_mail = acl_check_mail
acl_smtp_rcpt = acl_check_rcpt
acl_smtp_data = acl_check_data
acl_smtp_mime = acl_check_mime
.ifdef SPAMASSASSIN
spamd_address = 127.0.0.1 783
.endif
.ifdef CLAMD
av_scanner = clamd: /var/run/clamav/clamd.ctl
.endif
tls_advertise_hosts = *
tls_certificate = /usr/local/vesta/ssl/certificate.crt
tls_privatekey = /usr/local/vesta/ssl/certificate.key
daemon_smtp_ports = 25 : 465 : 587 : 2525
tls_on_connect_ports = 587 : 465
never_users = root
host_lookup = *
rfc1413_hosts = *
rfc1413_query_timeout = 5s
ignore_bounce_errors_after = 2d
timeout_frozen_after = 7d
DKIM_DOMAIN = ${lc:${domain:$h_from:}}
DKIM_FILE = /etc/exim4/domains/${lc:${domain:$h_from:}}/dkim.pem
DKIM_PRIVATE_KEY = ${if exists{DKIM_FILE}{DKIM_FILE}{0}}
######################################################################
# ACL CONFIGURATION #
# Specifies access control lists for incoming SMTP mail #
######################################################################
begin acl
acl_check_spammers:
accept hosts = +whitelist
drop message = Your host in blacklist on this server.
log_message = Host in blacklist
hosts = +spammers
accept
acl_check_mail:
deny condition = ${if eq{$sender_helo_name}{}}
message = HELO required before MAIL
drop message = Helo name contains a ip address (HELO was $sender_helo_name) and not is valid
condition = ${if match{$sender_helo_name}{N((d{1,3}[.-]d{1,3}[.-]d{1,3}[.-]d{1,3})|([0-9a-f]{8})|([0-9A-F]{8}))N}{yes}{no}}
condition = ${if match {${lookup dnsdb{>: defer_never,ptr=$sender_host_address}}}{$sender_helo_name}{no}{yes}}
delay = 45s
drop condition = ${if isip{$sender_helo_name}}
message = Access denied - Invalid HELO name (See RFC2821 4.1.3)
drop condition = ${if eq{[$interface_address]}{$sender_helo_name}}
message = $interface_address is _my_ address
accept
acl_check_rcpt:
accept hosts = :
deny message = Restricted characters in address
domains = +local_domains
local_parts = ^[.] : ^.*[@%!/|]
deny message = Restricted characters in address
domains = !+local_domains
local_parts = ^[./|] : ^.*[@%!] : ^.*/\.\./
require verify = sender
accept hosts = +relay_from_hosts
control = submission
accept authenticated = *
control = submission/domain=
deny message = Rejected because $sender_host_address is in a black list at $dnslist_domainn$dnslist_text
hosts = !+whitelist
dnslists = ${readfile {/etc/exim4/dnsbl.conf}{:}}
require message = relay not permitted
domains = +local_domains : +relay_to_domains
deny message = smtp auth requried
sender_domains = +local_domains
!authenticated = *
require verify = recipient
.ifdef CLAMD
warn set acl_m0 = no
warn condition = ${if exists {/etc/exim4/domains/$domain/antivirus}{yes}{no}}
set acl_m0 = yes
.endif
.ifdef SPAMASSASSIN
warn set acl_m1 = no
warn condition = ${if exists {/etc/exim4/domains/$domain/antispam}{yes}{no}}
set acl_m1 = yes
.endif
accept
acl_check_data:
.ifdef CLAMD
deny message = Message contains a virus ($malware_name) and has been rejected
malware = *
condition = ${if eq{$acl_m0}{yes}{yes}{no}}
.endif
.ifdef SPAMASSASSIN
warn !authenticated = *
hosts = !+relay_from_hosts
condition = ${if < {$message_size}{100K}}
condition = ${if eq{$acl_m1}{yes}{yes}{no}}
spam = nobody:true/defer_ok
add_header = X-Spam-Score: $spam_score_int
add_header = X-Spam-Bar: $spam_bar
add_header = X-Spam-Report: $spam_report
set acl_m2 = $spam_score_int
warn condition = ${if !eq{$acl_m2}{} {yes}{no}}
condition = ${if >{$acl_m2}{SPAM_SCORE} {yes}{no}}
add_header = X-Spam-Status: Yes
message = SpamAssassin detected spam (from $sender_address to $recipients).
.endif
accept
acl_check_mime:
deny message = Blacklisted file extension detected
condition = ${if match {${lc:$mime_filename}}{N(.ade|.adp|.bat|.chm|.cmd|.com|.cpl|.exe|.hta|.ins|.isp|.jse|.lib|.lnk|.mde|.msc|.msp|.mst|.pif|.scr|.sct|.shb|.sys|.vb|.vbe|.vbs|.vxd|.wsc|.wsf|.wsh)$N}{1}{0}}
accept
######################################################################
# AUTHENTICATION CONFIGURATION #
######################################################################
begin authenticators
dovecot_plain:
driver = dovecot
public_name = PLAIN
server_socket = /var/run/dovecot/auth-client
server_set_id = $auth1
dovecot_login:
driver = dovecot
public_name = LOGIN
server_socket = /var/run/dovecot/auth-client
server_set_id = $auth1
######################################################################
# ROUTERS CONFIGURATION #
# Specifies how addresses are handled #
######################################################################
begin routers
#smarthost:
# driver = manualroute
# domains = ! +local_domains
# transport = remote_smtp
# route_list = * smartrelay.vestacp.com
# no_more
# no_verify
dnslookup:
driver = dnslookup
domains = !+local_domains
transport = remote_smtp
no_more
userforward:
driver = redirect
check_local_user
file = $home/.forward
allow_filter
no_verify
no_expn
check_ancestor
file_transport = address_file
pipe_transport = address_pipe
reply_transport = address_reply
procmail:
driver = accept
check_local_user
require_files = ${local_part}:+${home}/.procmailrc:/usr/bin/procmail
transport = procmail
no_verify
autoreplay:
driver = accept
require_files = /etc/exim4/domains/$domain/autoreply.${local_part}.msg
condition = ${if exists{/etc/exim4/domains/$domain/autoreply.${local_part}.msg}{yes}{no}}
retry_use_local_part
transport = userautoreply
unseen
aliases:
driver = redirect
headers_add = X-redirected: yes
data = ${extract{1}{:}{${lookup{$local_part@$domain}lsearch{/etc/exim4/domains/$domain/aliases}}}}
require_files = /etc/exim4/domains/$domain/aliases
redirect_router = dnslookup
pipe_transport = address_pipe
unseen
localuser_fwd_only:
driver = accept
transport = devnull
condition = ${if exists{/etc/exim4/domains/$domain/fwd_only}{${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/fwd_only}{true}{false}}}}
localuser_spam:
driver = accept
transport = local_spam_delivery
condition = ${if eq {${if match{$h_X-Spam-Status:}{N^YesN}{yes}{no}}} {${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/passwd}{yes}{no_such_user}}}}
localuser:
driver = accept
transport = local_delivery
condition = ${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/passwd}{true}{false}}
catchall:
driver = redirect
headers_add = X-redirected: yes
require_files = /etc/exim4/domains/$domain/aliases
data = ${extract{1}{:}{${lookup{*@$domain}lsearch{/etc/exim4/domains/$domain/aliases}}}}
file_transport = local_delivery
redirect_router = dnslookup
terminate_alias:
driver = accept
transport = devnull
condition = ${lookup{$local_part@$domain}lsearch{/etc/exim4/domains/$domain/aliases}{true}{false}}
######################################################################
# TRANSPORTS CONFIGURATION #
######################################################################
begin transports
remote_smtp:
driver = smtp
#helo_data = $sender_address_domain
dkim_domain = DKIM_DOMAIN
dkim_selector = mail
dkim_private_key = DKIM_PRIVATE_KEY
dkim_canon = relaxed
dkim_strict = 0
procmail:
driver = pipe
command = "/usr/bin/procmail -d $local_part"
return_path_add
delivery_date_add
envelope_to_add
user = $local_part
initgroups
return_output
local_delivery:
driver = appendfile
maildir_format
maildir_use_size_file
user = ${extract{2}{:}{${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/passwd}}}}
group = mail
create_directory
directory_mode = 770
mode = 660
use_lockfile = no
delivery_date_add
envelope_to_add
return_path_add
directory = "${extract{5}{:}{${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/passwd}}}}/mail/$domain/$local_part"
quota = ${extract{6}{:}{${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/passwd}}}}M
quota_warn_threshold = 75%
local_spam_delivery:
driver = appendfile
maildir_format
maildir_use_size_file
user = ${extract{2}{:}{${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/passwd}}}}
group = mail
create_directory
directory_mode = 770
mode = 660
use_lockfile = no
delivery_date_add
envelope_to_add
return_path_add
directory = "${extract{5}{:}{${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/passwd}}}}/mail/$domain/$local_part/.Spam"
quota = ${extract{6}{:}{${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/passwd}}}}M
quota_directory = "${extract{5}{:}{${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/passwd}}}}/mail/$domain/$local_part"
quota_warn_threshold = 75%
address_pipe:
driver = pipe
return_output
address_file:
driver = appendfile
delivery_date_add
envelope_to_add
return_path_add
address_reply:
driver = autoreply
userautoreply:
driver = autoreply
file = /etc/exim4/domains/$domain/autoreply.${local_part}.msg
from = "${local_part}@${domain}"
headers = Content-Type: text/plain; charset=utf-8;nContent-Transfer-Encoding: 8bit
subject = "${if def:h_Subject: {Autoreply: "${rfc2047:$h_Subject:}"} {Autoreply Message}}"
to = "${sender_address}"
devnull:
driver = appendfile
file = /dev/null
######################################################################
# RETRY CONFIGURATION #
######################################################################
begin retry
# Address or Domain Error Retries
# ----------------- ----- -------
* * F,2h,15m; G,16h,1h,1.5; F,4d,6h
######################################################################
# REWRITE CONFIGURATION #
######################################################################
begin rewrite
######################################################################
Как сделать так, чтобы для SMTP работал STARTTLS? Т.е. перенаправляло с 25-го на 465/587-й порт и все нормально отправляло.
Вновь sudo cast 
constin, MrClon
Теперь exim4.
Перемещено shell-script из talks
-
01.12.2013, 12:43
#1
Senior Member
Exim4
Доброе утро!
Появилась проблема, а именно, не приходит почта на сервер.
Логи:Код:
2013-12-01 05:39:27 TLS error on connection from mail-wg0-f50.google.com [74.125.82.50] (cert/key setup: cert=/etc/exim4/ssl/exim.crt key=/etc/exim4/ssl/exim.key): Error while reading file. 2013-12-01 05:39:27 TLS error on connection from mail-bk0-f66.google.com [209.85.214.66] (cert/key setup: cert=/etc/exim4/ssl/exim.crt key=/etc/exim4/ssl/exim.key): Error while reading file.
В этой папке есть данные файлы, но на сервере используется не 1 сайт, а достаточно. И в Почтовые домены, для доменов стоит галочка DKIM.
Кто может помочь? А то не могу сообразить.
ISPmanager-Pro 4.4.10.20
Debian 6
Exim version 4.72С сервера почта уходит нормально.
-
01.12.2013, 17:31
#2
Senior Member
В логе пишет что не может прочитать файл exim.key
-
08.12.2013, 17:56
#3
Senior Member
dampel, Спасибо, я знаю англ., и перевел.
Вопрос почему, ведь файлы на месте и все настроено как нужно.
И какой сертификат нужно туда ставить ложить, лежит как я понял дефолтный.Последний раз редактировалось Сергей Александрович; 08.12.2013 в 17:59.
-
09.12.2013, 05:29
#4
ISPsystem team
Ключ соответствует сертификату?
Проверить, что ключ соответствует сертификату:
openssl x509 -noout -modulus -in cert.crt | openssl md5
openssl rsa -noout -modulus -in cert.key | openssl md5
Два значения должны совпадать.Права думаю еще стоит проверить.
-
09.12.2013, 09:27
#5
Senior Member
Fly, значения одинаковые.
Подскажите, какие права должны быть и группа?
-
11.12.2013, 04:44
#6
ISPsystem team
Права должны быть такими:
ls -la /etc/exim4/ssl/
total 16
drwxr-x— 2 Debian-exim Debian-exim 4096 Dec 11 03:38 .
drwxr-xr-x 4 root root 4096 Dec 11 03:38 ..
-r—r—r— 1 Debian-exim Debian-exim 648 Dec 11 03:38 exim.crt
-r——— 1 Debian-exim Debian-exim 916 Dec 11 03:38 exim.key
-
11.12.2013, 06:02
#7
Senior Member
-
11.12.2013, 06:49
#8
Senior Member
Последний раз редактировалось Сергей Александрович; 13.12.2013 в 11:16.
Exim4Last-updated: 2021-10-11
If PHP scripts running under an old version of the language fail to connect to SMTP server under Directadmin, and in logs can you see lines containing «TLS error on connection from hostname»:
2020-02-20 00:30:02 TLS error on connection from localhost (www.poralix.com) [127.0.0.1] (SSL_accept): error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol
or even:
2021-08-10 20:30:40 TLS error on connection from server.example.net [127.0.0.1] (SSL_accept): error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher
here is a possible fix for Exim managed by DirectAdmin.
Enabling TLSv1.0 and TLSv1.1 in Exim
For this run as root:
touch /etc/exim.variables.conf.custom echo 'openssl_options = +no_sslv2 +no_sslv3' >> /etc/exim.variables.conf.custom echo 'tls_require_ciphers=ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS' >> /etc/exim.variables.conf.custom
cd /usr/local/directadmin/custombuild/ ./build update ./build exim_conf
For CentOS 8
You might need to use the following set (instead of one specified above):
openssl_options = +no_sslv2 +no_sslv3 tls_require_ciphers = ALL:!ADH:!RC4:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP
in /etc/exim.variables.conf.custom, and even run:
update-crypto-policies --set LEGACY
as root in the server’s console. When running the command you might see the following:
[root@server.example.net ~]# update-crypto-policies --set LEGACY Setting system policy to LEGACY Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place. [root@server.example.net ~]#
And that’s OK.
Restart exim:
systemctl restart exim
Important
Please note TLSv1.0 and TLSv1.1 are considered to be deprecated and insecure. And if enabling them is the only possible solution for you, then you do it only on your own risk.
That’s it.