Score:0

การตั้งค่า Postfix ที่ถูกต้องเพื่อเปิดใช้งานการเชื่อมต่อ TLS v1.0 แบบดั้งเดิมจากกล่อง Windows XP รุ่นเก่าคืออะไร

ธง in

ฉันมีกล่อง WinXP Embedded SP3 ที่เก่าแล้ว (อย่าเพิ่งตัดสิน เรากำลังดำเนินการเลิกใช้งาน) ซึ่งจำเป็นต้องส่งอีเมลเพื่ออัปเดตสถานะ ฯลฯ

สิ่งนี้เคยใช้กับ GMail แต่พวกเขากำลังจะปิดการสนับสนุนแอปที่ไม่ปลอดภัยในเร็วๆ นี้ ดังนั้นเราจึงจำเป็นต้องแก้ไขเพื่อแก้ไขปัญหานี้ในระยะสั้น ด้วยเหตุนี้ ฉันได้ตั้งค่าเซิร์ฟเวอร์ postfix ที่ใช้ ubuntu-linux (v3.4.13) และพยายามกำหนดค่าให้อนุญาตการเชื่อมต่อ TLS v1.0

บนเครื่องที่ใหม่กว่า (เครื่องที่ใช้ Windows 10) ซึ่งใช้ไคลเอนต์เดียวกัน พวกเขาสามารถเชื่อมต่อและส่งอีเมลได้สำเร็จ ด้วยเหตุผลบางประการ เครื่อง XP เกิดข้อผิดพลาด

มีการตั้งค่าที่ฉันต้องแก้ไขใน postfix เพื่ออนุญาตการเชื่อมต่อแบบเก่าหรือไม่

ตัวอย่างการเชื่อมต่อที่ล้มเหลว (บันทึก postfix):

24 มีนาคม 15:51:22 smtp-relay postfix/smtpd[83942]: การเริ่มต้นเครื่องยนต์ TLS ฝั่งเซิร์ฟเวอร์
24 มี.ค. 15:51:22 smtp-relay postfix/smtpd[83942]: เชื่อมต่อจากที่ไม่รู้จัก[62.232.130.246]
24 มี.ค. 15:51:22 smtp-relay postfix/smtpd[83942]: ตั้งค่าการเชื่อมต่อ TLS จากไม่รู้จัก [62.232.130.246]
24 มี.ค. 15:51:22 smtp-relay postfix/smtpd[83942]: ไม่รู้จัก[62.232.130.246]: รายการรหัส TLS "aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH"
24 มีนาคม 15:51:22 smtp-relay postfix/smtpd[83942]: SSL_accept: ก่อนการเริ่มต้น SSL
24 มี.ค. 15:51:22 smtp-relay postfix/smtpd[83942]: อ่านจาก 558F3C6A5600 [558F3C6AC5A3] (5 ไบต์ => -1 (0xFFFFFFFFFFFFFFFF))
24 มีนาคม 15:51:22 smtp-relay postfix / smtpd [83942]: อ่านจาก 558F3C6A5600 [558F3C6AC5A3] (5 ไบต์ => 5 (0x5))
24 มี.ค. 15:51:22 smtp-relay postfix/smtpd[83942]: 0000 16 03 01 00 41 ....A
24 มีนาคม 15:51:22 smtp-relay postfix / smtpd [83942]: อ่านจาก 558F3C6A5600 [558F3C6AC5A8] (65 ไบต์ => 65 (0x41))
24 มี.ค. 15:51:22 smtp-relay postfix/smtpd[83942]: 0000 01 00 00 3d 03 01 62 3c|93 7a a3 47 25 d5 46 cd ...=..b< .z.G%.F.
24 มีนาคม 15:51:22 smtp-relay postfix / smtpd [83942]: 0010 b6 ca 43 77 7c 91 23 47 | 60 f7 bb 1a 88 04 81 62 ..Cw|.#G `......b
24 มี.ค. 15:51:22 smtp-relay postfix/smtpd[83942]: 0020 07 e3 ac 35 20 1f 00 00|16 00 04 00 05 00 0a 00 ...5 ...........
24 มี.ค. 15:51:22 smtp-relay postfix/smtpd[83942]: 0030 09 00 64 00 62 00 03 00|06 00 13 00 12 00 63 01 ..d.b... ......ค.
24 มีนาคม 15:51:22 smtp-relay postfix/smtpd[83942]: 0040 - <SPACES/NULLS>
24 มีนาคม 15:51:22 smtp-relay postfix/smtpd[83942]: SSL_accept: ก่อนการเริ่มต้น SSL
24 มีนาคม 15:51:22 smtp-relay postfix / smtpd [83942]: เขียนถึง 558F3C6A5600 [558F3C6B4750] (7 ไบต์ => 7 (0x7))
24 มี.ค. 15:51:22 smtp-relay postfix / smtpd [83942]: 0000 15 03 01 00 02 02 28 ......(
24 มีนาคม 15:51:22 smtp-relay postfix / smtpd [83942]: การเขียนการแจ้งเตือน SSL3: ร้ายแรง: การจับมือกันล้มเหลว
24 มีนาคม 15:51:22 smtp-relay postfix / smtpd [83942]: SSL_accept: ข้อผิดพลาดในข้อผิดพลาด
24 มีนาคม 15:51:22 smtp-relay postfix/smtpd[83942]: ข้อผิดพลาด SSL_accept จากที่ไม่รู้จัก[62.232.130.246]: -1
24 มีนาคม 15:51:22 smtp-relay postfix/smtpd[83942]: คำเตือน: ปัญหาไลบรารี TLS: ข้อผิดพลาด: 1417A0C1: รูทีน SSL: tls_post_process_client_hello: ไม่มีรหัสลับที่ใช้ร่วมกัน:../ssl/statem/statem_srvr.c:2283:
24 มี.ค. 15:51:22 smtp-relay postfix/smtpd[83942]: ขาดการเชื่อมต่อหลังจาก STARTTLS จากที่ไม่รู้จัก[62.232.130.246]
24 มี.ค. 15:51:22 smtp-relay postfix/smtpd[83942]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก[62.232.130.246] ehlo=1 starttls=0/1 commands=1/2

การเชื่อมต่อที่สำเร็จจากเครื่อง win-10 (ลำดับไบนารีถูกตัดให้สั้นลงเพื่อความกะทัดรัด):

24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: การเริ่มต้นเอ็นจิ้น TLS ฝั่งเซิร์ฟเวอร์
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: เชื่อมต่อจากที่ไม่รู้จัก[62.232.130.246]
24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: ตั้งค่าการเชื่อมต่อ TLS จากไม่รู้จัก[62.232.130.246]
24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: ไม่ทราบ[62.232.130.246]: รายการรหัส TLS "aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH"
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept: ก่อนการเริ่มต้น SSL
24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: อ่านจาก 55CE58FD8490 [55CE590115A3] (5 ไบต์ => -1 (0xFFFFFFFFFFFFFFFF))
24 มีนาคม 15:45:32 smtp-relay postfix / smtpd [83924]: อ่านจาก 55CE58FD8490 [55CE590115A3] (5 ไบต์ => 5 (0x5))
24 มีนาคม 15:45:32 smtp-relay postfix / smtpd [83924]: 0000 16 03 01 00 7a ....z
24 มีนาคม 15:45:32 smtp-relay postfix / smtpd [83924]: อ่านจาก 55CE58FD8490 [55CE590115A8] (122 ไบต์ => 122 (0x7A))
24 มี.ค. 15:45:32 smtp-relay postfix / smtpd[83924]: 0000 01 00 00 76 03 01 62 3c|92 0b e0 5b 1a 7f 9e 24 ...v..b< ...[... $

...

24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: 0070 00 00 17 00 00 ff 01 00|01 .........
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: 0079 - <SPACES/NULLS>
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept: ก่อนการเริ่มต้น SSL
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:SSLv3/TLS อ่านไคลเอนต์ สวัสดี
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:SSLv3/TLS เซิร์ฟเวอร์เขียน สวัสดี
24 มีนาคม 15:45:32 smtp-relay postfix / smtpd [83924]: เขียนถึง 55CE58FD8490 [55CE59019750] (4096 ไบต์ => 4096 (0x1000))
24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 16 03 01 00 41 02 00 00|3d 03 01 4d d2 77 f9 9c ....A... =..M.w..

...

24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: 0ff0 e9 ec e3 86 00 de 9d 10|e3 38 fa a4 7d b1 d8 e8 ....... .8..}.. .
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:SSLv3/TLS เขียนใบรับรอง
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:SSLv3/TLS การเขียนการแลกเปลี่ยนคีย์
24 มีนาคม 15:45:32 smtp-relay postfix / smtpd [83924]: เขียนถึง 55CE58FD8490 [55CE59019750] (330 ไบต์ => 330 (0x14A))
24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 49 82 84 06 9b 2b e8 6b|4f 01 0c 38 77 2e f9 dd I....+.k O..8w...

...

24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: 0130 bb bf c2 b5 eb 25 5e 18|74 6e ca โฆษณา 10 ee 91 51 .....%^ tn.....Q
24 มี.ค. 15:45:32 smtp-relay postfix / smtpd [83924]: 0140 2f 16 03 01 00 04 0e / ......
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: 0147 - <SPACES/NULLS>
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:เซิร์ฟเวอร์เขียน SSLv3/TLS เสร็จแล้ว
24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: อ่านจาก 55CE58FD8490 [55CE590115A3] (5 ไบต์ => -1 (0xFFFFFFFFFFFFFFFF))
24 มีนาคม 15:45:32 smtp-relay postfix / smtpd [83924]: อ่านจาก 55CE58FD8490 [55CE590115A3] (5 ไบต์ => 5 (0x5))
24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 16 03 01 00 25 ....%
24 มีนาคม 15:45:32 smtp-relay postfix / smtpd [83924]: อ่านจาก 55CE58FD8490 [55CE590115A8] (37 ไบต์ => 37 (0x25))
24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 10 00 00 21 20 01 8c 9c|11 84 58 2d d6 b3 77 7c ... ! ... ..X-..ว|
24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: 0010 5c d0 87 bd 98 e7 0e a1|dd 10 51 c8 27 98 e9 3e \....... ..Q.'.. >
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: 0020 cb 64 24 7a 0a .d$z
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:เซิร์ฟเวอร์เขียน SSLv3/TLS เสร็จแล้ว
24 มีนาคม 15:45:32 smtp-relay postfix / smtpd [83924]: อ่านจาก 55CE58FD8490 [55CE590115A3] (5 ไบต์ => 5 (0x5))
24 มี.ค. 15:45:32 smtp-relay postfix / smtpd [83924]: 0000 14 03 01 00 01 .....
24 มีนาคม 15:45:32 smtp-relay postfix / smtpd [83924]: อ่านจาก 55CE58FD8490 [55CE590115A8] (1 ไบต์ => 1 (0x1))
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 01
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:SSLv3/TLS อ่านการแลกเปลี่ยนคีย์ไคลเอนต์
24 มีนาคม 15:45:32 smtp-relay postfix / smtpd [83924]: อ่านจาก 55CE58FD8490 [55CE590115A3] (5 ไบต์ => 5 (0x5))
24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 16 03 01 00 30 ....0
24 มีนาคม 15:45:32 smtp-relay postfix / smtpd [83924]: อ่านจาก 55CE58FD8490 [55CE590115A8] (48 ไบต์ => 48 (0x30))
24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 a4 a1 7c 35 01 99 6f 54|16 81 3a 80 00 a4 2e 99 ..|5..oT ..:.....
24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: 0010 b1 2a 95 89 f3 37 0e 96|21 25 06 cc c8 8b 57 4e .*...7.. !%....WN
24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: 0020 16 46 5f 54 0f 77 14 59|47 30 00 9e a5 6a b9 5f .F_T.w.Y G0...j._
24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:SSLv3/TLS อ่านเปลี่ยนข้อมูลจำเพาะการเข้ารหัส
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:SSLv3/TLS อ่านเสร็จแล้ว
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: ไม่ทราบ[62.232.130.246]: กำลังออกตั๋วเซสชัน การหมดอายุของคีย์: 1648138531
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:SSLv3/TLS เขียนตั๋วเซสชัน
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:SSLv3/TLS เขียนเปลี่ยนข้อมูลจำเพาะการเข้ารหัส
24 มีนาคม 15:45:32 smtp-relay postfix / smtpd [83924]: เขียนถึง 55CE58FD8490 [55CE59019750] (250 ไบต์ => 250 (0xFA))
24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: 0000 16 03 01 00 ba 04 00 00|b6 00 00 1c 20 00 b0 b0 ........... ....... ...

...

24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: 00f0 db fc 56 30 de fc cf b4|70 68 ..V0.... ph
24 มีนาคม 15:45:32 smtp-relay postfix/smtpd[83924]: SSL_accept:SSLv3/TLS เขียนเสร็จแล้ว
24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: การเชื่อมต่อ TLS แบบไม่ระบุชื่อที่สร้างจากไม่รู้จัก[62.232.130.246]: TLSv1 พร้อมรหัส ECDHE-RSA-AES256-SHA (256/256 บิต)
24 มี.ค. 15:45:32 smtp-relay postfix/smtpd[83924]: อ่านจาก 55CE58FD8490 [55CE590115A3] (5 ไบต์ => -1 (0xFFFFFFFFFFFFFFFF))
24 มี.ค. 15:45:33 smtp-relay postfix/smtpd[83924]: อ่านจาก 55CE58FD8490 [55CE590115A3] (5 ไบต์ => 0 (0x0))
24 มีนาคม 15:45:33 smtp-relay postfix/smtpd[83924]: ขาดการเชื่อมต่อหลังจาก STARTTLS จากที่ไม่รู้จัก[62.232.130.246]
24 มี.ค. 15:45:33 smtp-relay postfix/smtpd[83924]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก[62.232.130.246] ehlo=1 starttls=1 commands=2
Score:2
ธง jp

คุณไม่ได้บอกว่าเวอร์ชันใดและรุ่นใดของ OpenSSL (ซึ่งกำหนดชุดการเข้ารหัสที่มีอยู่และรวมถึงโปรโตคอลแม้ว่าโปรโตคอลจะไม่ใช่ปัญหาของคุณที่นี่) หรือรุ่นของ Ubuntu (ซึ่งกำหนดด้านบนได้อย่างมีประสิทธิภาพ) แต่จากไฟล์ต้นฉบับในข้อความแสดงข้อผิดพลาด มันคือ อย่างชัดเจน 1.1.0 หรือสูงกว่า และโดยปกติแล้วจะไม่สนับสนุนชุดการเข้ารหัสใดๆ ที่เสนอโดยไคลเอนต์ XP3 ของคุณ หากไคลเอนต์แตกต่างกันไปขึ้นอยู่กับ Windows ที่ใช้งานอยู่ อาจเป็นเพราะใช้ schannel และ XP/S03 (แม้ว่าจะมี SP) ก็ไม่ได้เข้ารหัสใด ๆ ที่ดีไปกว่า 3DES (ยืนยันในการถ่ายโอนข้อมูล ClientHello ของคุณ)

วิธีที่ง่ายที่สุดคือถ้าไคลเอนต์สามารถทำ clear-SMTP (ไม่มี TLS) และคุณกำหนดค่า postfix เพื่อยอมรับสิ่งนั้น ตราบใดที่เซิร์ฟเวอร์นี้ใช้เฉพาะกับไคลเอ็นต์ง่อยรายนั้น ความเสี่ยงด้านความปลอดภัยก็ไม่ได้เลวร้ายไปกว่าไคลเอนต์รายนั้นอยู่แล้ว ล้มเหลวที่:

(ฉันค่อนข้างแน่ใจ) คุณสามารถดาวน์โหลดซอร์สแพ็คเกจ (OpenSSL) (เช่น แพตช์/ปรับแต่งโดย Ubuntu แล้ว) รวมถึง buildeps และ buildtools เปลี่ยนขั้นตอนการกำหนดค่าเพื่อเพิ่ม --enable-ssl-weak-ciphersและสร้างและติดตั้งใหม่ นี้ ควร เข้ากันได้ (และตอนนี้รองรับ 3DES ซึ่งรวมอยู่ใน MEDIUM) แม้ว่าโดยส่วนตัวแล้วฉันจะไม่เสี่ยงหากมีสิ่งที่สำคัญทำงานบนระบบเดียวกันมิฉะนั้น คุณต้องสร้างเวอร์ชัน OpenSSL ของคุณเอง และ postfix ของคุณเองที่ใช้ หรือสมมติว่าคุณใช้โดยปริยาย (465 ไม่ใช่ STARTTLS) ใส่บางอย่าง (แบบง่าย) ในสิบสอง เช่น stunnel คู่แบบต่อเนื่องที่สร้างด้วย OpenSSL เวอร์ชันที่อ่อนลง ซึ่งน่าจะง่ายกว่า

หรือ เพียงแค่ใช้อูบุนตูที่ใกล้เคียงกับ XP มากขึ้น เช่น 16.04 ซึ่งฉันบังเอิญมีใน WSL สำหรับการทดสอบ และมี OpenSSL 1.0.2g-plus-patches ซึ่งรองรับ 3DES (และ TLS1.0 -- OpenSSL ทั้งหมดตั้งแต่ก่อน 0.9.8 ทำเช่นนั้น) หากคุณไม่ต้องการอุทิศระบบสำหรับสิ่งนี้ ให้ใส่ไว้ใน VM หรือนักเทียบท่าหรือที่คล้ายกัน ซึ่งบังเอิญอาจช่วยป้องกันไม่ให้เกิดความตื่นตระหนกหากองค์กรของคุณทำการสแกนทั่วทั้งเครือข่ายเพื่อหาสิ่งที่ล้าสมัยหรือมีช่องโหว่

in flag
กำลังทำงานบน `Ubuntu 20.04.4 LTS` และ `OpenSSL 1.1.1f 31 มี.ค. 2020` ในขณะนี้ ขอบคุณสำหรับคำแนะนำ - จะลองดู
in flag
คอมไพล์ใหม่ด้วย `enable-ssl-weak-ciphers` ตอกมัน ขอบคุณมากสำหรับความช่วยเหลือของคุณ ตอนนี้ทำงานตามแผนกำจัดเครื่องจักรนั้นทั้งหมด :-)

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา