Как включить SSLv3 для mailcow?

Question

[Lapish72]

Есть работающий почтовый сервер Mailcow, спрятанный за Nginx proxy manager. Сертификат я получаю в NPM(lets encrypt), копирую его в mailcow, а затем перезапускаю несколько контейнеров.

Все прекрасно работало до недавних пор, но при попытке отправки с определенного почтового сервера на мой происходит следующая ошибка:
Certificate rejected over TLS. sslv3 alert handshake failure
Насколько я понимаю эта ошибка возникает из-за того, что mailcow отключили поддержку sslv3 и уже видимо очень давно.

Следуя по гайду выше я сделал изменения в двух файлах и перезапустил postfix & dovecot.

postfix/extra.conf

myhostname = mail.example.ru
smtpd_tls_protocols = !SSLv2, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !TLSv1, !TLSv1.1
submission_smtpd_tls_mandatory_protocols = !SSLv2, !TLSv1, !TLSv1.1
smtps_smtpd_tls_mandatory_protocols = !SSLv2, ,!TLSv1, !TLSv1.1

dovecot/extra.conf
ssl_min_protocol = SSLv3

Но ничего не помогло. Этот тестер показывает, что SSLv3 у меня отключен до сих пор.

Результат теста

Насколько я понимаю мне надо включить SSLv3 и в npm, но как это сделать я не знаю( Большинство гайдов идет именно на обычный nginx.

Comments

[Alexey Dmitriev]

Причем здесь ваши действия выше, если на входе стоит nginx и SSL терминирует тоже он? Или он у вас просто в stream режиме трафик перегоняет?

[Lapish72]

Создан один proxy host с mail.*.ru на 4430 mailcow и все.

Правило и docker-compose npm

[Valentin Barbolin]

Сертификат я получаю в NPM(lets encrypt)

Может он закончился?

Для SMTPS можно использовать самоподписанный сертификат.

myhostname = mail.example.ru
smtpd_tls_protocols = !SSLv2, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !TLSv1, !TLSv1.1
submission_smtpd_tls_mandatory_protocols = !SSLv2, !TLSv1, !TLSv1.1
smtps_smtpd_tls_mandatory_protocols = !SSLv2, ,!TLSv1, !TLSv1.1

Обычно системы при согласовании выбирают оптимальный протокол, а вы исключили все протоколы и оставили только SSLv3, у вас хоть что-то работает после этого?

На вашем месте, я бы наоборот запретил все варианты SSL, возможно отправляющая сторона умеет какой-то TLS но вы не даете ей шанса)

[Lapish72]

Valentin Barbolin, сертификат действителен до февраля 2024.

Обычно системы при согласовании выбирают оптимальный протокол, а вы исключили все протоколы и оставили только SSLv3, у вас хоть что-то работает после этого?
На вашем месте, я бы наоборот запретил все варианты SSL, возможно отправляющая сторона умеет какой-то TLS но вы не даете ей шанса)

В дефолтной настройке postfix здесь даже заблокирован SSLv3, который я разлочил. И при ней же остаются лишь tls 1.3 и 1.2.

[Valentin Barbolin]

Lapish72,

остаются лишь tls 1.3 и 1.2.

Следуя логике, стоит разрешить TLS1.1

[Lapish72]

Valentin Barbolin, сделал, но по тестеру все также tls 1.0 и 1.1 запрещены. Наверное, надо теперь как-то их разрешить и в NPM, как заметил Alexey Dmitriev

[Valentin Barbolin]

Lapish72, Для какого порта ты используеш этот сертификат?

[Lapish72]

Valentin Barbolin, для web - 4430. Сама корова - smtps 465, submission 587, imaps 993, pops 995.

[Valentin Barbolin]

Lapish72, Я так понимаю, что ошибка в приеме почты, значит речь идет про 465, ты ведь не можешь проксировать этот портчерез NGINX как http трафик, а значит сам сертификат должен быть на PostFix. В google такая ошибка sslv3 alert чаще встречается вместе с проблемой проверки root сертификатов и это проблема на отправляющей стороне, а значит стоит попробовать использовать другой сертификат и самый простой способ это использовать самоподписанный сертификат для 465 порта.

[Lapish72]

Valentin Barbolin, звучит непросто) В mailcow я просто копирую сертификат и все. И на самодписанный сертификат не будет ли жаловаться отправляющая сторона?

Пока я копирую так сертификаты из npm:

cp -f /opt/nginx-proxy-manager/letsencrypt/live/npm-1/fullchain.pem /opt/mailcow-dockerized/data/assets/ssl/cert.pem
cp -f /opt/nginx-proxy-manager/letsencrypt/live/npm-1/fullchain.pem /opt/mailcow-dockerized/data/assets/ssl/mail.example.ru/cert.pem
cp -f /opt/nginx-proxy-manager/letsencrypt/live/npm-1/privkey.pem /opt/mailcow-dockerized/data/assets/ssl/key.pem
cp -f /opt/nginx-proxy-manager/letsencrypt/live/npm-1/privkey.pem /opt/mailcow-dockerized/data/assets/ssl/mail.example.ru/key.pem

Answer 1

[Дмитрий]

Я просто оставлю ссылку на статью почему sslv3 должен быть отключен
https://blog.mozilla.org/security/2014/10/14/the-p...

Comments

[Lapish72]

Понимаю, что он уже устарел и небезопасен и про этот вид атаки тоже знаю. Нужно именно включить.

Answer 2

[CityCat4]

sslv3 давным-давно сдох, разложился, сгнил и мумифицировался. Возможно, как-то его можно реанимировать пересборкой openssl, но как только я вижу слово "докер" я сразу понимаю, что советовать тут пересборку openssl - примерно то же самое, что писать коммент по-японски :)

Dōse dare mo nani mo rikai dekinaidarou (ромадзи)

Comments

[Дмитрий]

Сакуры листья
Упали в грязь
SSLv3

[CityCat4]

Дмитрий, Шикарно