Gmail থেকে মেলগুলি গ্রহণ করতে পারে না


15

কিছু দিন আগে জিমেইল হঠাৎ করে আমার মেইল ​​সার্ভারে মেইল ​​পাঠানো বন্ধ করার সিদ্ধান্ত নিয়েছে। আমি ডেবিয়ান on তে আপডেট হওয়া সমস্ত কিছু দিয়ে একটি পেইড এসএসএল শংসাপত্র সহ পোস্টফিক্স এবং ডোভকোট ব্যবহার করছি।

আমার mail.logনিম্নলিখিত ত্রুটিটি দেখায়:

Dec 19 11:09:11 server postfix/smtpd[19878]: initializing the server-side TLS engine
Dec 19 11:09:11 server postfix/tlsmgr[19880]: open smtpd TLS cache btree:/var/lib/postfix/smtpd_scache
Dec 19 11:09:11 server postfix/tlsmgr[19880]: tlsmgr_cache_run_event: start TLS smtpd session cache cleanup
Dec 19 11:09:11 server postfix/smtpd[19878]: connect from mail-wi0-x230.google.com[2a00:1450:400c:c05::230]
Dec 19 11:09:11 server postfix/smtpd[19878]: setting up TLS connection from mail-wi0-x230.google.com[2a00:1450:400c:c05::230]
Dec 19 11:09:11 server postfix/smtpd[19878]: mail-wi0-x230.google.com[2a00:1450:400c:c05::230]: TLS cipher list "aNULL:-aNULL:ALL:+RC4:@STR                              ENGTH:!aNULL:!DES:!3DES:!MD5:!DES+MD5:!RC4:!RC4-MD5"
Dec 19 11:09:11 server postfix/smtpd[19878]: SSL_accept:before/accept initialization
Dec 19 11:09:11 server postfix/smtpd[19878]: SSL_accept:error in unknown state
Dec 19 11:09:11 server postfix/smtpd[19878]: SSL_accept error from mail-wi0-x230.google.com[2a00:1450:400c:c05::230]: -1
Dec 19 11:09:11 server postfix/smtpd[19878]: warning: TLS library problem: 19878:error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown                               protocol:s23_srvr.c:647:
Dec 19 11:09:11 server postfix/smtpd[19878]: lost connection after STARTTLS from mail-wi0-x230.google.com[2a00:1450:400c:c05::230]
Dec 19 11:09:11 server postfix/smtpd[19878]: disconnect from mail-wi0-x230.google.com[2a00:1450:400c:c05::230]

আমার পোস্টফিক্স থেকে উদ্ধৃতি main.cf:

smtpd_use_tls=yes
smtpd_tls_security_level = may
smtpd_tls_auth_only = yes
smtpd_tls_CAfile = path to CA Bundle
smtpd_tls_cert_file= path to cert (pem)
smtpd_tls_key_file=path to key (pem)
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3,!TLSv1,!TLSv1.1
smtpd_tls_exclude_ciphers = aNULL, DES, 3DES, MD5, DES+MD5, RC4, RC4-MD5
smtpd_tls_protocols=!SSLv2,!TLSv1,!TLSv1.1,!SSLv3
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_received_header = yes
tls_preempt_cipherlist = yes
tls_medium_cipherlist = AES256+EECDH:AES256+EDH

সমস্যাটি কোথায় তা আমি জানি না, কারণ আমি নিয়মিত অন্যের কাছ থেকে মেলগুলি পাই। টেলনেটের মাধ্যমে 25 বা পোর্ট 465 ওপেনসেলের মাধ্যমে সংযোগ করার ক্ষেত্রে কোনও ত্রুটি নেই

সংযোজন: গুগলের কাছ থেকে আমি এই মেইলটি পেয়েছি:

Delivery to the following recipient failed permanently:

     <removed>

Technical details of permanent failure:
TLS Negotiation failed

----- Original message -----
[...]

এটি আমার সিফেরলিস্টের সাথে সমস্যা হতে পারে?

ম্যাসেগোলোহর প্রশ্নের উত্তর:

openssl s_client -connect localhost:25 -starttls smtp
CONNECTED(00000003)
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
[...]
---
Server certificate
-----BEGIN CERTIFICATE-----
[...]
---
No client certificate CA names sent
---
SSL handshake has read 6267 bytes and written 477 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: zlib compression
Expansion: zlib compression
SSL-Session:
Protocol  : TLSv1.2
Cipher    : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: [...]
Session-ID-ctx:
Master-Key: [...]
Key-Arg   : None
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 3600 (seconds)
TLS session ticket: [...]

Compression: 1 (zlib compression)
Start Time: 1418986680
Timeout   : 300 (sec)
Verify return code: 19 (self signed certificate in certificate chain)

---
250 DSN

আপডেট 1: আমার এসএসএল শংসাপত্র পুনরায় ইস্যু করা হয়েছে। নিম্নলিখিত হিসাবে সবকিছু উত্পন্ন:
openssl req -nodes -newkey rsa:2048 -keyout myserver.key -out server.csr -sha256

তারপরে আমি সিএ বান্ডেলটি তৈরি করে এর পরে crtএবং এর সমন্বয়ে একটি নতুন ফাইল keyতৈরি করেছি:
cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > bundle.crt

আমার দোভকোট এবং পোস্টফিক্স কনফিগারেশনে সমস্ত কিছু যুক্ত করা হয়েছে এবং উভয় পরিষেবা পুনরায় চালু করা হয়েছে।
গুগল এখনও আমার সার্ভারের ফলে মেইলগুলি প্রেরণে ব্যর্থ হয়েছে যার ফলস্বরূপTLS Negotiation failed

আমি অন্য মেল সরবরাহকারীর (ওয়েব.ডি) চেষ্টা করেছি এবং মেলটি প্রেরণা পায়।
ওয়েব.ডি লগ:

Dec 19 17:33:15 server postfix/smtpd[14105]: connect from mout.web.de[212.227.15.3]
Dec 19 17:33:15 server postfix/smtpd[14105]: setting up TLS connection from mout.web.de[212.227.15.3]
Dec 19 17:33:15 server postfix/smtpd[14105]: mout.web.de[212.227.15.3]: TLS cipher list "aNULL:-aNULL:ALL:+RC4:@STRENGTH"
Dec 19 17:33:15 server postfix/smtpd[14105]: mout.web.de[212.227.15.3]: save session EA1635ED786AFC2D9C7AB43EF43620A1D9092DC640FDE21C01E7BA25981D2445&s=smtp&l=268439647 to smtpd cache
Dec 19 17:33:15 server postfix/tlsmgr[14107]: put smtpd session id=EA1635ED786AFC2D9C7AB43EF43620A1D9092DC640FDE21C01E7BA25981D2445&s=smtp&l=268439647 [data 127 bytes]
Dec 19 17:33:15 server postfix/tlsmgr[14107]: write smtpd TLS cache entry EA1635ED786AFC2D9C7AB43EF43620A1D9092DC640FDE21C01E7BA25981D2445&s=smtp&l=268439647: time=1419006795 [data 127 bytes]
Dec 19 17:33:15 server postfix/smtpd[14105]: Anonymous TLS connection established from mout.web.de[212.227.15.3]: TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)

Soultion:
সক্রিয় করার পরে TLSv1এবং TLSv1.1মধ্যে smtpd_(mandatory)_protocolsঅধ্যায় সবকিছু যে কাজ করছে জরিমানা। ধন্যবাদ ম্যাসেগোলোহ !

Dec 20 11:44:46 server postfix/smtpd[31966]: initializing the server-side TLS engine
Dec 20 11:44:46 server postfix/tlsmgr[31968]: open smtpd TLS cache btree:/var/lib/postfix/smtpd_scache
Dec 20 11:44:46 server postfix/tlsmgr[31968]: tlsmgr_cache_run_event: start TLS smtpd session cache cleanup
Dec 20 11:44:46 server postfix/smtpd[31966]: connect from mail-wi0-x235.google.com[2a00:1450:400c:c05::235]
Dec 20 11:44:46 server postfix/smtpd[31966]: setting up TLS connection from mail-wi0-x235.google.com[2a00:1450:400c:c05::235]
Dec 20 11:44:46 server postfix/smtpd[31966]: mail-wi0-x235.google.com[2a00:1450:400c:c05::235]: TLS cipher list "aNULL:-aNULL:ALL:+RC4:@STRENGTH"
Dec 20 11:44:46 server postfix/smtpd[31966]: Anonymous TLS connection established from mail-wi0-x235.google.com[2a00:1450:400c:c05::235]: TLSv1 with cipher ECDHE-RSA-RC4-SHA (128/128 bits)

কমান্ডের আউটপুট কি openssl s_client -connect localhost:25 -starttls smtp?
masegaloeh

এটি আমার প্রশ্নের সাথে যুক্ত করুন @ ম্যাসেগোলোহ
অক্টোবক্স

এটি আমাকে এক্সিমের সাথেও প্রভাবিত করছে; দুর্দান্ত প্রশ্ন।
বয়ড স্টিফেন স্মিথ জুনিয়র 17

এটি কেবল আমার উপর প্রভাব ফেলতে শুরু করেছে, আমার মেইন.সি.এফ.তে tls_protocol লাইন নেই, এবং ডকুমেন্টযুক্ত ডিফল্টটি কেবল SSL2 / 3 অক্ষম করতে হবে। তবে নীচের উত্তরগুলি আমার সমস্যাটিকে স্থির করেছে।
বুবুস

উত্তর:


21

টিএলডিআর : আপনার টিএলএস প্রোটোকলগুলি অত্যন্ত কঠোর কারণ আপনি কেবলমাত্র টিএলএসভি 1.2 সংযোগের অনুমতি দিয়েছেন।

smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3,!TLSv1,!TLSv1.1
smtpd_tls_protocols=!SSLv2,!TLSv1,!TLSv1.1,!SSLv3

এবং জিএমএল আপনার সার্ভারে টিএলএসভি 1 প্রোটোকল সহ ইমেল প্রেরণ করে । এজন্য টিএলএস আলোচনায় ব্যর্থ হয়।

সুস্পষ্ট সমাধানটি TLSv1 এবং TLSv1.1 প্রোটোকলকে অনুমতি দিচ্ছে এবং এখনও SSLv2 এবং SSLv3 প্রোটোকল অক্ষম করছে।


ব্যাখ্যা

GTMAIL এবং ফেসবুক থেকে STARTTLS এর চেয়ে ইমেল পেতে ব্যর্থ হয়ে আমি আপনার কেসটি নিশ্চিত করতে পারি ।

কেন কেবলমাত্র জিমেইল যারা আমার সার্ভারে ইমেল প্রেরণে ব্যর্থ হয়

জিমেইল ইমেল প্রেরণ করার সময় এটি মাইলোগ স্নিপেট

Dec 19 23:37:47 tls postfix/smtpd[3876]: initializing the server-side TLS engine
Dec 19 23:37:47 tls postfix/smtpd[3876]: connect from mail-wg0-f47.google.com[74.125.82.47]
Dec 19 23:37:48 tls postfix/smtpd[3876]: setting up TLS connection from mail-wg0-f47.google.com[74.125.82.47]
Dec 19 23:37:48 tls postfix/smtpd[3876]: mail-wg0-f47.google.com[74.125.82.47]: TLS cipher list "aNULL:-aNULL:ALL:+RC4:@STRENGTH:!aNULL:!DES:!3DES:!MD5:!DES+MD5:!RC4:!RC4-MD5"
Dec 19 23:37:48 tls postfix/smtpd[3876]: SSL_accept:before/accept initialization
Dec 19 23:37:48 tls postfix/smtpd[3876]: SSL_accept:error in unknown state
Dec 19 23:37:48 tls postfix/smtpd[3876]: SSL_accept error from mail-wg0-f47.google.com[74.125.82.47]: -1
Dec 19 23:37:48 tls postfix/smtpd[3876]: warning: TLS library problem: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:647:
Dec 19 23:37:48 tls postfix/smtpd[3876]: lost connection after STARTTLS from mail-wg0-f47.google.com[74.125.82.47]
Dec 19 23:37:48 tls postfix/smtpd[3876]: disconnect from mail-wg0-f47.google.com[74.125.82.47]

FACEBOOK ইমেল প্রেরণ করার সময় এটি মাইলোগ স্নিপেট

Dec 19 23:11:14 tls postfix/smtpd[3844]: initializing the server-side TLS engine
Dec 19 23:11:14 tls postfix/tlsmgr[3846]: open smtpd TLS cache btree:/var/lib/postfix/smtpd_scache
Dec 19 23:11:14 tls postfix/tlsmgr[3846]: tlsmgr_cache_run_event: start TLS smtpd session cache cleanup
Dec 19 23:11:14 tls postfix/smtpd[3844]: connect from outcampmail003.ash2.facebook.com[66.220.155.162]
Dec 19 23:11:14 tls postfix/smtpd[3844]: setting up TLS connection from outcampmail003.ash2.facebook.com[66.220.155.162]
Dec 19 23:11:14 tls postfix/smtpd[3844]: outcampmail003.ash2.facebook.com[66.220.155.162]: TLS cipher list "aNULL:-aNULL:ALL:+RC4:@STRENGTH:!aNULL:!DES:!3DES:!MD5:!DES+MD5:!RC4:!RC4-MD5"
Dec 19 23:11:14 tls postfix/smtpd[3844]: SSL_accept:before/accept initialization
Dec 19 23:11:15 tls postfix/smtpd[3844]: SSL_accept:error in unknown state
Dec 19 23:11:15 tls postfix/smtpd[3844]: SSL_accept error from outcampmail003.ash2.facebook.com[66.220.155.162]: -1
Dec 19 23:11:15 tls postfix/smtpd[3844]: warning: TLS library problem: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:647:
Dec 19 23:11:15 tls postfix/smtpd[3844]: lost connection after STARTTLS from outcampmail003.ash2.facebook.com[66.220.155.162]
Dec 19 23:11:15 tls postfix/smtpd[3844]: disconnect from outcampmail003.ash2.facebook.com[66.220.155.162]
Dec 19 23:11:16 tls postfix/smtpd[3844]: connect from outcampmail004.ash2.facebook.com[66.220.155.163]
Dec 19 23:11:17 tls postfix/smtpd[3844]: 962C281443: client=outcampmail004.ash2.facebook.com[66.220.155.163]
Dec 19 23:11:18 tls postfix/cleanup[3849]: 962C281443: message-id=<722b2b198d163c43d3bf013bdd396817@www.facebook.com>
Dec 19 23:11:18 tls postfix/qmgr[3843]: 962C281443: from=<notification+zj4zc0zzjfac@facebookmail.com>, size=18002, nrcpt=1 (queue active)
Dec 19 23:11:18 tls postfix/local[3850]: 962C281443: to=<root@tls.example.net>, orig_to=<zera@tls.example.net>, relay=local, delay=1.6, delays=1.5/0/0/0, dsn=2.0.0, status=sent (delivered to mailbox)
Dec 19 23:11:18 tls postfix/qmgr[3843]: 962C281443: removed
Dec 19 23:11:24 tls postfix/smtpd[3844]: disconnect from outcampmail004.ash2.facebook.com[66.220.155.163]

কিছু বিশ্লেষণ

  • প্রথম স্নিপেটে, GMAIL STARTTLS- এর মাধ্যমে ইমেল প্রেরণের চেষ্টা করবে। টিএলএস আলোচনার সময়, কিছু ত্রুটি দেখা দেয়, তাই GMAIL সার্ভার এটি সংযোগ বিচ্ছিন্ন করে। নীচে ত্রুটি কেন ঘটছে তা নিয়ে আমরা আলোচনা করব।
  • দ্বিতীয় স্নিপেটে, ফেসবুক STARTTLS- তে ইমেল প্রেরণেও ব্যর্থ। ফলব্যাক প্রক্রিয়াতে, সাদামাটা পাঠ্য মোডের সাথে ফেসবুক ইমেল পুনরায় পাঠায়। এই ক্ষেত্রে আমাদের সার্ভার আনন্দের সাথে এটি গ্রহণ করে।

সুতরাং, কেবল এটিই ব্যাখ্যা করুন যে কেবলমাত্র জিএমএল আপনার সার্ভারে ইমেল প্রেরণে কেন ব্যর্থ হয়। টিএলএস আলোচনায় ব্যর্থ হলে জিমেইলের ফ্যালব্যাকের ব্যবস্থা নেই । ইমেল বিতরণ সফল হওয়া নিশ্চিত করতে অন্যান্য মেল সার্ভার ফ্যালব্যাক প্রক্রিয়া ব্যবহার করতে পারে।

কেন টিএলএস আলোচনার ত্রুটি ঘটে

আমি ওয়েব.ডি মাইলোগ থেকে আকর্ষণীয় লাইনটি খুঁজে পেয়েছি

Dec 19 17:33:15 foxdev postfix/smtpd[14105]: Anonymous TLS connection established from mout.web.de[212.227.15.3]: TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)

এবং এটিতে আপনি এই কনফিগারেশনটি নির্দিষ্ট করে নিন main.cf

smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3,!TLSv1,!TLSv1.1
smtpd_tls_protocols=!SSLv2,!TLSv1,!TLSv1.1,!SSLv3

এর অর্থ আপনার সার্ভারটি কেবলমাত্র টিএলএসভি সংযোগ গ্রহণ করবে যখন টিএলএসভি 1.2 ব্যবহার করা হবে। TLSv1.2 ব্যতীত আপনার সার্ভার টিএলএস আলোচনার ত্রুটির অভিযোগ করবে।

যদি আমি পরিবর্তন smtpd_tls_(mandatory_)protocolsকরতে !SSLv2,!SSLv3,!TLSv1, ত্রুটি এখনও ঘটে। তার মানে জিএমএল এবং ফেসবুক টিএলএসভি ১.১ এবং টিএলএসভি ১.২ ছাড়া অন্য প্রোটোকলের সাহায্যে আপনার মেল সার্ভারের সাথে যোগাযোগের চেষ্টা করবে।

আমি যদি পরিবর্তিত smtpd_tls_(mandatory_)protocolsহই !SSLv2,!SSLv3, টিএলএস আলোচনার সাফল্য আসবে। এটি জিএমএল এবং ফেসবুক আপনার সার্ভারের সাথে টিএলএসভি 1 প্রোটোকলের সাথে যোগাযোগ করবে তা নিশ্চিত করে

Dec 20 00:21:46 tls postfix/smtpd[4261]: Anonymous TLS connection established from outmail038.prn2.facebook.com[66.220.144.165]: TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
Dec 20 00:23:00 tls postfix/smtpd[4261]: Anonymous TLS connection established from mail-wi0-f174.google.com[209.85.212.174]: TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)

ফ্রিবিএসডি ফোরামের অন্যান্য লোকেরাও এই আচরণের বিষয়টি নিশ্চিত করে।

সমাধান

সুস্পষ্ট সমাধানটি আপনার পোস্টফিক্সে টিএলএসভি 1 এবং টিএলএসভি 1.1 সক্ষম করে। এটি নিশ্চিত করবে যে কোনও মেইল ​​সার্ভারের ফ্যালব্যাক প্রক্রিয়া নেই - যেমন জিএমএল - এখনও আপনার সার্ভারের সাথে যোগাযোগ করতে পারে।

TLSv1 এবং TLSv1.1 সমর্থন অক্ষম করার জন্য আপনার কারণটি আমি জানি না, কেবলমাত্র TLSv1.2 প্রোটোকল রেখে। যদি এটি কোনও ওয়েবসভার হয় এবং আপনার ব্যবহারকারী কেবল আধুনিক ব্রাউজার ব্যবহার করবেন তবে আপনি নিজের সার্ভারে টিএলএসভি 1 অক্ষম করতে পারবেন। এটি গ্রহণযোগ্য কারণ কেবলমাত্র প্রবীণ ব্রাউজার যারা প্রোটোকল টিএলএসভি 1 সমর্থন করে না


0

একটি সম্ভাব্য সমস্যা যা আমি দেখতে পাচ্ছি তা হ'ল ওপেনএসএসএল দ্বারা রিপোর্ট করা স্ব-স্বাক্ষরিত শংসাপত্রের আপাত ব্যবহার:

Verify return code: 19 (self signed certificate in certificate chain)

আপনি যদি কোনও প্রদত্ত এসএসএল শংসাপত্র ব্যবহার করেন তবে আপনার স্ব-স্বাক্ষরিত শংসাপত্র ব্যবহার করা উচিত নয়।

আমি পরীক্ষা করব যে আপনার পিইএম ফাইলটিতে আপনার প্রদত্ত শংসাপত্র রয়েছে এবং তাও যাচাই করতে পারে যে এটিতে পুরো শংসাপত্রের চেইন রয়েছে।


ভাল স্ব স্বাক্ষরিত শংসাপত্র হ'ল সিএর মূল শংসাপত্র যা সিএ স্বাক্ষরিত।
অক্টোফেক্স

আপনার সিএ কে? যদি তারা তাদের শৃঙ্খলে স্ব-স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করে তবে আপনাকে আপনার .pem ফাইলে সম্পূর্ণ শৃঙ্খলা সরবরাহ করতে হবে।
ক্রেগ ওয়াটসন

এটি কমোডোর একটি শংসাপত্র। আমি আমার স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করি না। যেমনটি বলা হয়েছিল যে কমোডো তাদের দ্বারা তাদের মূল code: 19 (self signed certificate)
শংসাপত্র

1
code 19আপনার সম্পূর্ণ শৃঙ্খলা পরিবেশন করা থাকলে আপনার কোনও বার্তা পাওয়া উচিত নয় । আমি স্টার্টএসএল থেকে একটি শংসাপত্র ব্যবহার করি যা কমান্ডের শীর্ষে একই ত্রুটি দেয় তবে আমি smtpd_tls_cert_fileপিইএম ফাইলের মধ্যে সম্পূর্ণ শৃঙ্খলা (মূল সিএ সহ) সরবরাহ করি , ক্লায়েন্টের কাছে সম্পূর্ণ শৃঙ্খলে বৈধ করার জন্য প্রয়োজনীয় সমস্ত শংসাপত্র রয়েছে ।
ক্রেগ ওয়াটসন

আমি আমার পরীক্ষার পরীক্ষার জন্য পুনরায় প্রকাশ করব। সমস্যাটি হচ্ছে, আমি কোনও পরিবর্তন করি নি, গুগল কেবল আমাকে আর মেল সরবরাহ করতে পারে না
অক্টোফেক্স
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.