হ্যান্ডশেক ব্যর্থতার সাথে কিছু সংযোগ প্রত্যাখাত সেন্ডমেল: এসএসএল সতর্কতা নম্বর 40


8

CentOS 5 এ আমার সেন্ডমেল সার্ভারটি নিম্নলিখিত বার্তায় লগ হওয়া কিছু সংযোগ প্রত্যাখ্যান করতে শুরু করেছে:

error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1092:SSL alert number 40

আমি যখন CentOS 6 সার্ভার থেকে ওপেনসেল ব্যবহার করে এটিতে সংযোগ দেওয়ার চেষ্টা করি তখন আমি নিম্নলিখিত ত্রুটিটি পাই:

$ openssl s_client -starttls smtp -crlf -connect hostname.example.net:smtp
(...)
error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small:s3_clnt.c:3331
(...)
Server Temp Key: DH, 512 bits
(...)

CentOS 6 সার্ভারে মেলটি সাময়িকভাবে দিয়ে প্রত্যাখ্যান করা হয় Deferred: 403 4.7.0 TLS handshake failed

CentOS 6 / RHEL 6 থেকে CentOS6 / RHEL5 সার্ভারে মেল পাঠাতে সক্ষম হতে কী করবেন?

উত্তর:


10

কেননা সেন্টোস on এ ওপেনসেল-এর সাম্প্রতিক আপডেটের পরে openssl-1.0.1e-30.el6.11.x86_64, এই লাইব্রেরিটি ব্যবহার করে প্রোগ্রামগুলি লগজাম টিএলএস দুর্বলতার জন্য দুর্বল সার্ভারগুলির সাথে সংযোগ প্রত্যাখ্যান করতে শুরু করে ।

কমপক্ষে 1024 বিট - শক্তিশালী অস্থায়ী ডিফি-হেলম্যান কী ব্যবহার করতে আপনাকে সেন্ডমেলটি কনফিগার করতে হবে। আপনি নিজের টিএলএস শংসাপত্রটিতে এটি একই কীটি ব্যবহার করেন না, তাই যদি আপনার শংসাপত্রটি 2048 বিট কী ব্যবহার করে তবে আপনি এখনও ঝুঁকিপূর্ণ হতে পারেন।

আপনার সার্ভারে ডিএইচ প্যারামিটার ফাইল তৈরি করুন:

openssl dhparam -out /etc/pki/tls/certs/dhparams.pem 1024

এই পরামিতি ফাইলটি ব্যবহার করতে এবং কেবল শক্তিশালী সিফার ব্যবহার করতে সেন্ডমেল কনফিগার করুন। এতে যুক্ত করুন /etc/mail/sendmail.mc:

LOCAL_CONFIG
O CipherList=HIGH:!ADH
O DHParameters=/etc/pki/tls/certs/dhparams.pem
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3

তারপরে make -C /etc/mail/এবং ব্যবহার করুন service sendmail restart


আমার কাছ থেকে +1 - একটি দুর্দান্ত কাজ এবং জীবন রক্ষাকারী। ধন্যবাদ!
ম্যাডহ্যাটার

স্পষ্টতার জন্য, এটি কি এই পাঠানো বা প্রাপ্ত সার্ভারের উপর এই পরিবর্তনটি করা দরকার? অথবা উভয়?
জো

1
@ জো রিসিভিং পক্ষ। আমি নিশ্চিত নই যে এটি এখনও কঠোরভাবে আবশ্যক, কারণ এখানে আরএইচইল 5 / সেন্টোস 5 এর জন্য একটি নতুন ওপেনসেল প্যাকেজ প্রকাশিত ( openssl-0.9.8e-36.el5_11) রয়েছে যা এই সমস্যাটিকে সংশোধন করতে পারে। এটি এখনও প্রস্তাবিত।
টমেটজকি

আমি আশা করব না 1024 বিট ডিএইচ প্যারামিটারগুলি দীর্ঘ সময়ের জন্য নিরাপদ থাকবে। এখন 2048 বিট প্যারাম ব্যবহার শুরু করুন।
মাইকেল হ্যাম্পটন

ঠিক আছে, এটি সার্ভারটি ঠিক করতে পারে তবে আমি কীভাবে s_client STFU করব এবং যেভাবে সংযুক্ত করব?
রিকি বিম

0

হ্যাঁ এটা কাজ করে:-)

আমার ত্রুটিটি সামান্য ডিফেরেন্ট ছিল, তবে সমাধানটি একই:

SSL routines:SSL3_READ_BYTES:sslv3 alert illegal parameter:s3_pkt.c:1060:SSL alert number 47

আমি সার্ভারের অস্থায়ী কী উত্পন্ন করি: ডিএইচ ফাইল (আমার কনফিগারেশনে কোনওটি নেই, ডিফল্টটি 512 বাইট)

openssl dhparam -out /etc/mail/certs/dhparams.pem 2048

(খুব দীর্ঘ সময় নিন ;-)

এবং আমি sendmail.cf এ লাইন রাখি into

O DHParameters=/etc/mail/certs/dhparams.pem

পুনরায় চালু করার পরে আমার সেন্ডমেল আবার মেলগুলি প্রেরণ শুরু করে :-)

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.