Új dovecot levelezőszerver beállítása után néhány kliens nem tud SSL-lel csatlakozni, mert
TLS handshaking: SSL_accept() failed: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher
típusú hibkat kapnak.
Az egyik kliensről kiderült, hogy XP alatt Outlook Express 6.0.
Ha valakinek van friss dovecot ssl_cipher_list értéke (vagy valami varázslata), amivel stabilan megy a különböző kliensekkel, azt megköszönném. (OpenSSL 1.1.0f)
- 1223 megtekintés
Hozzászólások
SSLv3 support hiánya. Ha szerencséd van kézzel vissza tudod kapcsolni, de igazság szerint fénysebességgel kéne az XP + OE párost felejteni.
- A hozzászóláshoz be kell jelentkezni
Mármint a kliensen? Arra sajnos nincs ráhatásom, hogy mit használnak.
Amíg openSSL 0.9.8c alatt ment a szerver, addig rendben volt.
- A hozzászóláshoz be kell jelentkezni
Azt azért remélem tudod, hogy ha beengeded a gyengébb klienseket, azzal az összes többi klienst is veszélyezteted.
- A hozzászóláshoz be kell jelentkezni
Igen, gyanítottam, hogy nem véletlenül tűnt el. Persze azt már nem tudom, ez a valóságban mekkora kockázat.
- A hozzászóláshoz be kell jelentkezni
A kockázat valós, ráadásul az XP kliensek igen erőteljesen ki vannak téve a mindenféle malware-eknek. Ha hajlandóak valamelyik ESR Thunderbird-re váltani, azzal még mailezni talán tudnak, de az XP továbbra is extrém biztonsági kockázat. Amíg nem ütköznek falakba minden irányból, addig nem is lesznek hajlandóak váltani róla, hiszen az mindíg is jól működött.
Akinél ilyen előfordult nálunk, annak simán küldtem a sablonlevelet, hogy nem támogatjuk. Aki emiatt felmondja a szolgáltatást, hát felmondja.
- A hozzászóláshoz be kell jelentkezni
Úgy tűnik, mi is ezt az utat fogjuk választani. Valós kockázatot nem szeretnék bevállalni.
- A hozzászóláshoz be kell jelentkezni
Mi a valós kockázat? Konkrétan?
- A hozzászóláshoz be kell jelentkezni
Számomra az állt össze a fentiekből, hogyha a szerver elfogadja a TLS1.0-át, akkor olyan biztonsági rések vannak nyitva, amin keresztül a szerver feltörhetőségét kockáztatja.
Így az is érthető, a Debian miért szüntette meg ennek a támogatását.
- A hozzászóláshoz be kell jelentkezni
" amin keresztül a szerver feltörhetőségét kockáztatja."
Ezt azért furcsálnám, ha így lenne. Szerintem nem kockáztatja. Ez kliensekre és a szerver-kliens közötti kommunikációra vonatkozik.
- A hozzászóláshoz be kell jelentkezni
SSL downgrade attack. Ha engeded a szar protokollokat, bizonyos esetekben MITM módszerrel el lehet érni, hogy az erősebb titkosítást ismerő kliens is a szar protokollt használja, és akkor olyan, mintha nem is lenne titkosítás, röviden és tömören.
- A hozzászóláshoz be kell jelentkezni
"MITM módszerrel el lehet érni, hogy az erősebb titkosítást ismerő kliens is a szar protokollt használja"
Így értem, köszönöm!
- A hozzászóláshoz be kell jelentkezni
Hogy az elhanyagolt kliensekről és az azokról áradó spam/scam/malware áradatról ne is beszéljünk.
- A hozzászóláshoz be kell jelentkezni
Amit ugye szerver oldali mail számolással megoldasz. Ha elérte a napi limitet, smtp user lock. Ettől kezdve kit zavar? Az ügyfelet? Na akkor majd tesz érte:)
- A hozzászóláshoz be kell jelentkezni
Én is beleestem ebbe. Net azt irja, hogy az XP-ig érintettek. Sajnos néhány régi gépet használó user miatt kénytelen voltam az smtp szerveren upgrade előtt készített snapshotból visszaállni Debian 9-ról 8-ra.
- A hozzászóláshoz be kell jelentkezni
Akkor még debian 8 alatt nincsen, gond. Remek. Még csak most fogok upgradelni debian 7 ről 8ra :>
Fedora 26, Thinkpad x220
- A hozzászóláshoz be kell jelentkezni
Akkor upgradelj és webmailt nekik, ha ennyire nem lehet elengedni az XP-t.
- A hozzászóláshoz be kell jelentkezni
XP-n az IE-vel is hasonló gondok lesznek (TLSv1.0 3DES a legjobb, amit tud, és ezt már sárgával jelzi a Qualys), a latest Chrome már nem is megy XP-n, a latest ESR FF utolsó emlékeim szerint igen, abból még lesz egy vagy két update tavasszal, de aztán ott is leoltják a lámpát.
- A hozzászóláshoz be kell jelentkezni
Köszönöm az infót, nem néztem utána mert nem volt még rá szerencsére szükség. Ahol XP a követelmény (például régi típusú címkenyomtató szoftver[de annak leváltása is folyamatban]) ott network plug off van és mellette van egy gép KVM switchhel. Nem elegáns megoldás, viszont időt nyerünk vele.
Szerintem a GDPR is kitér majd ezekre a sarokpontokra, de ezzel kapcsolatosan még nem kaptam tájékoztatást.
- A hozzászóláshoz be kell jelentkezni