Le 03/04/2020 à 12:04, P. MARCHAND a écrit : > Hello Mesdames et Messieurs > > Je m'amuse à monter un petit serveur postfix à la maison, et j'ai mis un peu > le nez > dans la configuration TLS. > > Sauf que j'avoue être confronté à l'interopérabilité avec les serveurs SMTP > tiers. > J'ai pris la décision de "respecter" certains standard et actes conseillé, > cependant > je crois que cela est un poil barbare.
C'est tout le problème d'Internet : des réseaux indépendants à gouvernance variable qui font au mieux pour discuter à peu près correctement avec à peu près tout le monde. > Je vois quelques logs passer m'indiquant des erreurs de configuration du TLS. > Pourtant certains mails passent, d'autre non. > > Exemple : > 2020-04-03T06:45:32.116577+00:00 mail postfix/smtpd[21357]: connect from > lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr > <http://lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr>[92.154.95.236] > 2020-04-03T06:45:32.188745+00:00 mail postfix/smtpd[21357]: setting up TLS > connection > from lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr > <http://lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr>[92.154.95. > 236] > > > 2020-04-03T06:45:32.190314+00:00 mail postfix/smtpd[21357]: > lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr > <http://lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr>[92.154.95.236]: TLS > cipher > list "TLSv1.2: > ECDHE:!AES128:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!EXP:!MEDIUM:!LOW:!SSLv2:!MD5:!DES:!ADH:!RC4:!PSD:!SRP:!3DES:!eNULL:!aNULL" > 2020-04-03T06:45:32.192204+00:00 mail postfix/smtpd[21357]: SSL_accept:before > SSL > initialization > 2020-04-03T06:45:32.208266+00:00 mail postfix/smtpd[21357]: SSL_accept:before > SSL > initialization > 2020-04-03T06:45:32.210173+00:00 mail postfix/smtpd[21357]: SSL3 alert > write:fatal:protocol version > 2020-04-03T06:45:32.211278+00:00 mail postfix/smtpd[21357]: SSL_accept:error > in error > > 2020-04-03T06:45:32.212614+00:00 mail postfix/smtpd[21357]: SSL_accept error > from > lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr > <http://lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr>[92.154.95.236]: -1 > 2020-04-03T06:45:32.213057+00:00 mail postfix/smtpd[21357]: warning: TLS > library > problem: error:14209102:SSL routines:tls_early_post_process_client_ > hello:unsupported protocol:ssl/statem/statem_srvr.c:1660: > > > 2020-04-03T06:45:32.214265+00:00 mail postfix/smtpd[21357]: lost connection > after > STARTTLS from lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr > <http://lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr>[92.15 > 4.95.236] > > > 2020-04-03T06:45:32.215988+00:00 mail postfix/smtpd[21357]: disconnect from > lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr > <http://lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr>[92.154.95.236] ehlo=1 > sta > rttls=0/1 commands=1/2 > > Comme vous pouvez le constater ma cipherlist est "réduite" > TLSv1.2:ECDHE:!AES128:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!EXP:!MEDIUM:!LOW:!SSLv2:!MD5:!DES:!ADH:!RC4:!PSD:!SRP:!3DES:!eNULL:!aNULL > On peut retrouver la liste des ciphers rattaché avec openssl cphers -V > 'TLSv1.2:ECDHE:!AES128:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!EXP:!MEDIUM:!LOW:!SSLv2:!MD5:!DES:!ADH:!RC4:!PSD:!SRP:!3DES:!eNULL:!aNULL' > > Mon idée de départ était de respecter les préco suivantes : > Pas de SSLv2, SSLv3 > Pas de TLS1.0, ni TLS1.1 (fin de vie de ce derneir cette année) > retrait de l'AES 128 (ainsi que du camellia128) car il existe leur équivalent > en 256. > > A la vue de ce log, est-ce que cela signifie que Wanadoo (!) transmets encore > ces > mails par le biais du SSLv3 ? > Pourtant SSLv3 est faillible à POODLE... <https://tools.ietf.org/html/rfc7568> Le protocole SSLv3 est officiellement déprécié, il est en principe interdit de l'utiliser. Tu es en droit de le virer de ton côté. Et ce n'est pas Wanadoo qui essaie de te contacter, mais une adresse assignée à un abonnement Wanadoo. Peut-être quelqu'un qui s'auto-héberge (particulier ou entreprise), peut-être quelqu'un qui scanne, peut-être un robot malveillant. > Est-il judicieux d'indiquer que tous les échanges avec le daemon smtpd se > font en TLS ? > l'option afférente étant : smtpd_tls_auth_only = yes > > Finalement est-il pertinent de "respecter" les recommendations du TLS, si > certains ne > les respectent pas. La question est plus ou moins inutile, car oui c'est > pertinent, > mais n'est ce pas de la discrimination que de laisser ceux qui sont à la > traîne pour > mettre à jour leur confs, au risque de leur retirer leur moyens d'expression ? > Prochaienement la campagne des impots va commencer, et je souhaiterais > recevoir le > mail du centre des finances. Mais si ces percepteurs disposent de serveurs > mails > foireux, je ne sais si je vais parvenir à payer mes impots. C'est un compromis foireux : d'un côté l'interopérabilité obligatoire, de l'autre la nécessaire protection des communications. Poser la question en ces termes implique qu'il est plus simple de ne rien faire. Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/>
signature.asc
Description: OpenPGP digital signature
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
