A conexão do IMAP TLS com o Dovecot falha

Question

A conexão do IMAP TLS com o Dovecot falha

#1 resposta do (4 votos)

1

Título original: A conexão IMAP ao Dovecot falha apenas no Thunderbird

Eu configurei o Dovecot com SSL (TLS) na porta 993. Eu posso conectar com o Outlook, PHP SMTP e Android Mail, no entanto o Thunderbird não se conecta. Diz Configuration could not be verified - is the username or password wrong? . O log de erro do Dovecot mostra isso:

Jan 05 22:41:45 imap-login: Warning: SSL: where=0x10, ret=1: before/accept initialization [1.2.3.4]
Jan 05 22:41:45 imap-login: Warning: SSL: where=0x2001, ret=1: before/accept initialization [1.2.3.4]
Jan 05 22:41:45 imap-login: Warning: SSL alert: where=0x4008, ret=598: fatal unknown [1.2.3.4]
Jan 05 22:41:45 imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client hello C [1.2.3.4]
Jan 05 22:41:45 imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client hello C [1.2.3.4]
Jan 05 22:41:45 imap-login: Info: Disconnected (no auth attempts in 0 secs): user=<>, rip=1.2.3.4, lip=4.5.6.7, TLS handshaking: SSL_accept() failed: error:140A1175:SSL routines:SSL_BYTES_TO_CIPHER_LIST:inappropriate fallback, session=<yDs4Z48DudCBhYne>

Eu desativei SSLv2 e SSLv3 em 10-ssl.conf:

ssl_protocols = !SSLv2 !SSLv3
ssl_cipher_list = ALL:!LOW:!SSLv2:!EXP:!aNULL

Qual pode ser o problema? Funciona bem em todos os outros clientes de email que eu tentei, e é por isso que isso é um pouco estranho.

ssl thunderbird dovecot

por Friend of Kim 05.01.2015 / 23:51

1 resposta

Tags ssl thunderbird dovecot

dovecot: daemon de peneira de escaninho não começando Quantos bits de entropy por byte lidos de / dev / random e / dev / urandom?

score 4 · Accepted Answer

A primeira coisa que eu faria seria atualizar o cliente .

O que está acontecendo aqui é uma tentativa de redução do protocolo. Ou seja, o cliente está tentando fazer downgrade de TLSv1 para SSLv3 ou de qualquer versão superior do TLS para uma versão inferior. (Exatamente o que não está claro nos logs e exigiria que a depuração mais detalhada do OpenSSL fosse ativada, mas esse detalhe em particular não é realmente relevante.)

O motivo pelo qual o downgrade do protocolo está falhando é que seu servidor tem a prevenção contra downgrade de protocolo (TLS_FALLBACK_SCSV) ativada, como uma atenuação para o ataque POODLE.

Portanto, a primeira coisa a verificar é certificar-se de que o cliente está atualizado; isso significa, no mínimo, o Thunderbird e suas bibliotecas de suporte.

Depois disso, eu verificaria a lista de protocolos. Eu estou preocupado que você não especificou TLSv1, TLSv1.1 e TLSv1.2 explicitamente. Embora isso não deva fazer diferença, já que elas devem ser ativadas por padrão, isso pode ajudar.

ssl_protocols = TLSv1.2 TLSv1.1 TLSv1 !SSLv3 !SSLv2

Por fim, há a rara possibilidade de você detectar alguém tentando atacar sua conexão, e o ataque foi frustrado.