Как включить SSLv3 для mailcow?

Question

Lapish72 @Lapish72

Как включить SSLv3 для mailcow?

Есть работающий почтовый сервер Mailcow, спрятанный за Nginx proxy manager. Сертификат я получаю в NPM(lets encrypt), копирую его в mailcow, а затем перезапускаю несколько контейнеров.

Все прекрасно работало до недавних пор, но при попытке отправки с определенного почтового сервера на мой происходит следующая ошибка:
Certificate rejected over TLS. sslv3 alert handshake failure
Насколько я понимаю эта ошибка возникает из-за того, что mailcow отключили поддержку sslv3 и уже видимо очень давно.

Следуя по гайду выше я сделал изменения в двух файлах и перезапустил postfix & dovecot.

postfix/extra.conf

myhostname = mail.example.ru
smtpd_tls_protocols = !SSLv2, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !TLSv1, !TLSv1.1
submission_smtpd_tls_mandatory_protocols = !SSLv2, !TLSv1, !TLSv1.1
smtps_smtpd_tls_mandatory_protocols = !SSLv2, ,!TLSv1, !TLSv1.1

dovecot/extra.conf
ssl_min_protocol = SSLv3

Но ничего не помогло. Этот тестер показывает, что SSLv3 у меня отключен до сих пор.

Результат теста

Насколько я понимаю мне надо включить SSLv3 и в npm, но как это сделать я не знаю( Большинство гайдов идет именно на обычный nginx.

Вопрос задан более года назад
401 просмотр

10 комментариев

Подписаться 1 Простой 10 комментариев

Alexey Dmitriev @SignFinder

Причем здесь ваши действия выше, если на входе стоит nginx и SSL терминирует тоже он? Или он у вас просто в stream режиме трафик перегоняет?

Написано более года назад
Lapish72 @Lapish72 Автор вопроса

Создан один proxy host с mail.*.ru на 4430 mailcow и все.

Правило и docker-compose npm

Написано более года назад
Valentin Barbolin @dronmaxman

Сертификат я получаю в NPM(lets encrypt)

Может он закончился?

Для SMTPS можно использовать самоподписанный сертификат.

myhostname = mail.example.ru
smtpd_tls_protocols = !SSLv2, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !TLSv1, !TLSv1.1
submission_smtpd_tls_mandatory_protocols = !SSLv2, !TLSv1, !TLSv1.1
smtps_smtpd_tls_mandatory_protocols = !SSLv2, ,!TLSv1, !TLSv1.1

Обычно системы при согласовании выбирают оптимальный протокол, а вы исключили все протоколы и оставили только SSLv3, у вас хоть что-то работает после этого?

На вашем месте, я бы наоборот запретил все варианты SSL, возможно отправляющая сторона умеет какой-то TLS но вы не даете ей шанса)

Написано более года назад
Lapish72 @Lapish72 Автор вопроса

Valentin Barbolin, сертификат действителен до февраля 2024.

Обычно системы при согласовании выбирают оптимальный протокол, а вы исключили все протоколы и оставили только SSLv3, у вас хоть что-то работает после этого?
На вашем месте, я бы наоборот запретил все варианты SSL, возможно отправляющая сторона умеет какой-то TLS но вы не даете ей шанса)

В дефолтной настройке postfix здесь даже заблокирован SSLv3, который я разлочил. И при ней же остаются лишь tls 1.3 и 1.2.

Написано более года назад
Valentin Barbolin @dronmaxman

Lapish72,
остаются лишь tls 1.3 и 1.2.

Следуя логике, стоит разрешить TLS1.1

Написано более года назад
Lapish72 @Lapish72 Автор вопроса

Valentin Barbolin, сделал, но по тестеру все также tls 1.0 и 1.1 запрещены. Наверное, надо теперь как-то их разрешить и в NPM, как заметил Alexey Dmitriev

Написано более года назад
Valentin Barbolin @dronmaxman

Lapish72, Для какого порта ты используеш этот сертификат?

Написано более года назад
Lapish72 @Lapish72 Автор вопроса

Valentin Barbolin, для web - 4430. Сама корова - smtps 465, submission 587, imaps 993, pops 995.

Написано более года назад
Valentin Barbolin @dronmaxman

Lapish72, Я так понимаю, что ошибка в приеме почты, значит речь идет про 465, ты ведь не можешь проксировать этот портчерез NGINX как http трафик, а значит сам сертификат должен быть на PostFix. В google такая ошибка sslv3 alert чаще встречается вместе с проблемой проверки root сертификатов и это проблема на отправляющей стороне, а значит стоит попробовать использовать другой сертификат и самый простой способ это использовать самоподписанный сертификат для 465 порта.

Написано более года назад

Lapish72 @Lapish72 Автор вопроса

Valentin Barbolin, звучит непросто) В mailcow я просто копирую сертификат и все. И на самодписанный сертификат не будет ли жаловаться отправляющая сторона?

Пока я копирую так сертификаты из npm:

cp -f /opt/nginx-proxy-manager/letsencrypt/live/npm-1/fullchain.pem /opt/mailcow-dockerized/data/assets/ssl/cert.pem
cp -f /opt/nginx-proxy-manager/letsencrypt/live/npm-1/fullchain.pem /opt/mailcow-dockerized/data/assets/ssl/mail.example.ru/cert.pem
cp -f /opt/nginx-proxy-manager/letsencrypt/live/npm-1/privkey.pem /opt/mailcow-dockerized/data/assets/ssl/key.pem
cp -f /opt/nginx-proxy-manager/letsencrypt/live/npm-1/privkey.pem /opt/mailcow-dockerized/data/assets/ssl/mail.example.ru/key.pem

Написано более года назад

Причем здесь ваши действия выше, если на входе стоит nginx и SSL терминирует тоже он? Или он у вас просто в stream режиме трафик перегоняет?
Создан один proxy host с mail.*.ru на 4430 mailcow и все.

Правило и docker-compose npm
Сертификат я получаю в NPM(lets encrypt)

Может он закончился?

Для SMTPS можно использовать самоподписанный сертификат.

myhostname = mail.example.ru
smtpd_tls_protocols = !SSLv2, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !TLSv1, !TLSv1.1
submission_smtpd_tls_mandatory_protocols = !SSLv2, !TLSv1, !TLSv1.1
smtps_smtpd_tls_mandatory_protocols = !SSLv2, ,!TLSv1, !TLSv1.1

Обычно системы при согласовании выбирают оптимальный протокол, а вы исключили все протоколы и оставили только SSLv3, у вас хоть что-то работает после этого?

На вашем месте, я бы наоборот запретил все варианты SSL, возможно отправляющая сторона умеет какой-то TLS но вы не даете ей шанса)
Valentin Barbolin, сертификат действителен до февраля 2024.

Обычно системы при согласовании выбирают оптимальный протокол, а вы исключили все протоколы и оставили только SSLv3, у вас хоть что-то работает после этого?
На вашем месте, я бы наоборот запретил все варианты SSL, возможно отправляющая сторона умеет какой-то TLS но вы не даете ей шанса)

В дефолтной настройке postfix здесь даже заблокирован SSLv3, который я разлочил. И при ней же остаются лишь tls 1.3 и 1.2.
Lapish72,
остаются лишь tls 1.3 и 1.2.

Следуя логике, стоит разрешить TLS1.1
Valentin Barbolin, сделал, но по тестеру все также tls 1.0 и 1.1 запрещены. Наверное, надо теперь как-то их разрешить и в NPM, как заметил Alexey Dmitriev
Lapish72, Для какого порта ты используеш этот сертификат?
Valentin Barbolin, для web - 4430. Сама корова - smtps 465, submission 587, imaps 993, pops 995.
Lapish72, Я так понимаю, что ошибка в приеме почты, значит речь идет про 465, ты ведь не можешь проксировать этот портчерез NGINX как http трафик, а значит сам сертификат должен быть на PostFix. В google такая ошибка sslv3 alert чаще встречается вместе с проблемой проверки root сертификатов и это проблема на отправляющей стороне, а значит стоит попробовать использовать другой сертификат и самый простой способ это использовать самоподписанный сертификат для 465 порта.
Valentin Barbolin, звучит непросто) В mailcow я просто копирую сертификат и все. И на самодписанный сертификат не будет ли жаловаться отправляющая сторона?

Пока я копирую так сертификаты из npm:

cp -f /opt/nginx-proxy-manager/letsencrypt/live/npm-1/fullchain.pem /opt/mailcow-dockerized/data/assets/ssl/cert.pem cp -f /opt/nginx-proxy-manager/letsencrypt/live/npm-1/fullchain.pem /opt/mailcow-dockerized/data/assets/ssl/mail.example.ru/cert.pem cp -f /opt/nginx-proxy-manager/letsencrypt/live/npm-1/privkey.pem /opt/mailcow-dockerized/data/assets/ssl/key.pem cp -f /opt/nginx-proxy-manager/letsencrypt/live/npm-1/privkey.pem /opt/mailcow-dockerized/data/assets/ssl/mail.example.ru/key.pem

Answer 1 · 2023-12-08 08:56:59

Dmitry @q2digger

никого не трогаю, починяю примус

Я просто оставлю ссылку на статью почему sslv3 должен быть отключен
https://blog.mozilla.org/security/2014/10/14/the-p...

Ответ написан более года назад

1 комментарий

Как включить SSLv3 для mailcow?

Войдите на сайт