Score:1

อัปเดต EXIM4 แล้ว ตอนนี้ไม่ได้ใช้ TLS เนื่องจากการตรวจสอบล้มเหลว

ธง gb

ฉันมีโฮมเซิร์ฟเวอร์และอัปเดตไดรฟ์ระบบเป็น SSD เนื่องจากเป็นการผสมผสานระหว่าง USB และ HDD สำหรับ /home และ /var เนื่องจาก USB อยู่ใน Debian เวอร์ชันก่อนหน้า ฉันจึงทำการติดตั้งใหม่ ซึ่งได้อัปเกรด EXIM เป็นเวอร์ชัน 4.95 ด้วย ก่อนหน้านี้ฉันใช้ 4.94.2

แม้จะมีการกำหนดค่า smarthost เดียวกัน แต่เพื่อใช้เซิร์ฟเวอร์ SMTP ของ ISP ของฉัน เซิร์ฟเวอร์ไม่ได้ใช้ TLS อีกต่อไปและให้ข้อผิดพลาดในการตรวจสอบ

/var/log/exim4/mainlog:

2022-04-12 03:30:25 เซสชัน TLS 1ne6I7-000AHw-MF: (การตรวจสอบใบรับรองล้มเหลว): การส่งที่ไม่ได้เข้ารหัสไปยัง H=<DOMAIN> [<IP>] (ไม่ได้อยู่ใน hosts_require_tls)

I.S.P ของฉันยังยอมรับเมลที่ไม่ได้เข้ารหัส แต่ตอนนี้เมลจากงาน cron กำลังถูกแฟล็กโดย I.S.P. เป็นสแปม การเปลี่ยนแปลงเพียงอย่างเดียวที่เป็นข้อความคือ ได้รับ ส่วนหัวที่หายไปจากการเป็น ด้วย esmtpsa (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (Exim 4.94.2) เพียงแค่ ด้วย esmtp (Exim 4.95). สันนิษฐานว่าความแตกต่างคือสิ่งที่ตั้งค่าสถานะให้ให้ความสนใจเป็นพิเศษ

ฉันใช้รหัสและใบรับรองที่ลงนามเอง (พร้อมการประทับเวลาปี 2013) แบบเดียวกับการติดตั้งครั้งก่อน ฉันยังพยายามสร้างคู่ใหม่ที่ไม่มีเอฟเฟกต์ที่คล้ายกัน

หลังจากค้นหาคำแนะนำทางออนไลน์แล้ว ก็แนะนำให้ใช้การกำหนดค่า letsencrypt เพื่อให้สามารถตรวจสอบได้ ฉันใช้สิ่งนั้นแล้ว แต่มันทำให้เกิดพฤติกรรมเดียวกันใน EXIM

นี่คือการกำหนดค่าของฉัน

/etc/exim4/update-exim4.conf.conf:

dc_eximconfig_configtype='สมาร์ทโฮสต์'
dc_other_hostnames='<โดเมนท้องถิ่น>'
dc_local_interfaces='127.0.0.1 ; ::1'
dc_readhost=''
dc_relay_domains=''
dc_minimaldns='เท็จ'
dc_relay_nets=''
dc_smarthost='<โดเมน ISP>:587'
CFILEMODE='644'
dc_use_split_config='จริง'
dc_hide_mailname='เท็จ'
dc_mailname_in_oh='จริง'
dc_localdelivery='maildir_home'

/etc/exim4/etc/exim4/conf.d/main/00_local_settings:

MAIN_TLS_ENABLE = ใช่
MAIN_TLS_CERTIFICATE = /etc/letsencrypt/live/<โดเมนท้องถิ่น>/fullchain.pem
MAIN_TLS_PRIVATEKEY = /etc/letsencrypt/live/<โดเมนท้องถิ่น>/privkey.pem

/etc/letsencrypt/archive/<โดเมนท้องถิ่น>/*15.*

-rw-r--r-- 1 รูท Debian-exim 1870 28 มี.ค. 00:48 /etc/letsencrypt/archive/<LOCAL DOMAIN>/cert15.pem
-rw-r--r-- 1 รูท Debian-exim 3749 28 มี.ค. 00:48 /etc/letsencrypt/archive/<LOCAL DOMAIN>/chain15.pem
-rw-r--r-- 1 รูท Debian-exim 5619 28 มี.ค. 00:48 /etc/letsencrypt/archive/<LOCAL DOMAIN>/fullchain15.pem
-rw ------- 1 รูท Debian-exim 1708 28 มี.ค. 00:48 /etc/letsencrypt/archive/<LOCAL DOMAIN>/privkey15.pem

ฉันยังมี /etc/exim4/passwd.client ไฟล์ที่มีรายละเอียดการเข้าสู่ระบบ SMTP ของฉัน ซึ่งเห็นได้ชัดว่าทำงานเพื่อส่งเมลได้เลย

เป็นโดเมนที่ชี้ไปยังที่อยู่ IP ที่บ้านของฉัน

รายการของคีย์การเข้ารหัสใน 00_local_settings ชี้ไปที่ symlink ที่ไปยังเวอร์ชันปัจจุบัน ฉันได้เปลี่ยนความเป็นเจ้าของกลุ่มเพื่อให้ EXIM สามารถมองเห็นรหัสส่วนตัวได้ แต่ปล่อยสิทธิ์ไว้ตามลำพัง

การกำหนดค่าการทำงานก่อนหน้านี้ของฉันเหมือนกัน แต่มีการลงนามด้วยตนเอง exim.crt และ exim.key ไฟล์ใน /etc/exim4และอื่น ๆ โดยไม่มีสองบรรทัดหลังในไฟล์ 00_local_settings ของฉัน

ฉันได้ลองคัดลอกไฟล์ letsencrypt เข้าไปด้วย /etc/exim4 และตั้งชื่อพวกเขา exim.cert และ exim.key ด้วยสิทธิ์เดียวกันกับ 640 และไม่มีอะไรใน 00_local_settings แต่ก็ไม่ได้เปลี่ยนแปลงอะไร

สิ่งที่น่ารำคาญเป็นพิเศษคือในการทดสอบขั้นสุดท้าย ฉันเพิ่งลบคีย์ที่ไม่มีการกำหนดค่าเพื่อดูว่าจะเกิดอะไรขึ้น ฉันได้รับข้อผิดพลาดเดียวกัน ดังนั้นฉันจึงไม่สามารถบอกได้ว่ามีปัญหากับคีย์ที่ฉันใช้อยู่หรือไม่ หรือเพียงแค่มองไม่เห็นเลยด้วยซ้ำ

us flag
ค้นหาเบาะแสใน /var/log/exim4/mainlog และ /var/log/exim4/paniclog
gb flag
น่าเสียดายที่ไม่มี 'paniclog' และบรรทัดที่ฉันให้เป็นเพียงเบาะแสเดียวใน 'mainlog' รายการก่อนและหลังเหมือนกับระบบ Debian เก่า เพื่อยืนยันการเชื่อมต่อและรับจดหมาย แต่สำหรับข้อผิดพลาด TLS ฉันรวมทุกอย่างดูปกติ ไม่มีแม้แต่ข้อผิดพลาดในการกำหนดค่าจะถูกบันทึกไว้ที่ใดก็ได้เมื่อเปิดใช้ Exim ฉันหลงทางว่าจะทำอย่างไร
Score:2
ธง gb

ฉันได้ค้นคว้าต่อไปและฉันก็พบคำตอบแล้ว ไม่ชัดเจนสำหรับฉันว่าใบรับรองใดกำลังถูกตรวจสอบ ฉันสันนิษฐานว่าเป็นของฉัน แต่ตระหนักว่าอาจเป็นเซิร์ฟเวอร์ SMTP ระยะไกลเครื่องหนึ่ง

เพิ่มรายการด้านล่างเพื่อ /etc/exim4/etc/exim4/conf.d/main/00_local_settings ปิดใช้งานการตรวจสอบ อนุญาตให้ใช้ TLS

REMOTE_SMTP_SMARTHOST_TLS_VERIFY_HOSTS = !*

สามารถยืนยันได้ในส่วนหัวของข้อความที่แสดงว่าได้รับแล้ว ด้วย esmtpsa (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (Exim 4.95)

ฉันคิดว่านี่คือสิ่งที่เกิดขึ้นก่อนหน้านี้ และ Debian หรือ Exim ได้เปลี่ยนค่าเริ่มต้นให้ต้องมีการยืนยันตั้งแต่การกำหนดค่าเริ่มต้นของฉัน

สมมุติว่าเซิร์ฟเวอร์ระยะไกลใช้ใบรับรองที่สร้างขึ้นเอง จะไม่สามารถตรวจสอบได้?

us flag
ในการอ่านบรรทัดบันทึกอีกครั้ง ฉันกำลังจะแนะนำสาเหตุเดียวกัน
gb flag
มันคลุมเครือเล็กน้อยว่าใครเป็นคนตรวจสอบความถูกต้องของใคร เนื่องจากไม่มีคำแนะนำว่าเซิร์ฟเวอร์ใดสร้างข้อผิดพลาด เนื่องจากฉันค้นหามากเพื่อหาคำตอบแต่ไม่ประสบผลสำเร็จ หวังว่าการโพสต์ไว้ที่นี่หมายความว่าคนอื่นๆ ที่อยู่ในสถานการณ์เดียวกันจะพบวิธีแก้ปัญหาง่ายๆ ขอบคุณที่พิจารณาคำถาม

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา