Re: authentification SMTP

Page principale

Répondre à ce message
Auteur: Xavier Belanger
Date:  
À: Jérôme Kieffer
CC: guilde
Sujet: Re: authentification SMTP
Bonjour,

Je me suis permis de faire quelques tests en me connectant
à ton serveur et voici les résultats :

xavier@thinkpad:~$ openssl s_client -connect islay.terre-adelie.org:587 -starttls smtp
CONNECTED(00000003)
depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT

L'ancien certificat racine de Let's Encrypt est expiré depuis plus
d'un an mais est toujours référencé.

[ https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/ ]

Il est possible que cela soit ce qui bloque l'authentification
si le client que tu utilises à distance n'utilise pas la bonne
chaine de validation.

Une autre chose que j'ai pu noter, tu utilises l'authentification
CRAM-MD5 qui est n'est plus recommandé depuis 2008 :

* https://en.wikipedia.org/wiki/CRAM-MD5

"It was recommended to deprecate the standard in 20 November 2008.
As an alternative it recommends e.g. SCRAM or SASL Plain protected
by TLS instead."

* https://ldapwiki.com/wiki/CRAM-MD5

"No mutual authentication", "Weak password storage",
"Threat of reversibility".

Je n'ai pas essayé de décoder les chaînes en base64, mais je te recommende
de changer de mot de passe dans tous les cas.

À partir du moment où la connection réseau est établie avec TLS
utiliser les mécanismes 'PLAIN' et 'LOGIN' devraient être suffisant.
Tu devrais pouvoir configurer cela dans le fichier
/etc/sasl2/smtpd.conf ou equivalent (j'ai une machine Rocky Linux
comme référence, je n'ai pas de Debian sous la main).

Une autre amélioration (mais qui n'est pas sûrement pas liée
à ton problème initial) serait de désactiver le support pour
TLS 1.0 et TLS 1.1, qui sont maintenant obsolètes :

xavier@thinkpad:~$ nmap -p T:587 --script ssl-enum-ciphers islay.terre-adelie.org
Starting Nmap 7.70 ( https://nmap.org ) at 2022-12-20 08:16 EST
Nmap scan report for islay.terre-adelie.org
Host is up (0.12s latency).

PORT    STATE SERVICE
587/tcp open  submission

| ssl-enum-ciphers:
| TLSv1.0:

(...)
| TLSv1.1:

(...)
| TLSv1.2:

(...)

Nmap done: 1 IP address (1 host up) scanned in 51.77 seconds

Cela peut se faire avec la configuration suivant dans le fichier
main.cf :

smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1

Puis en redémarrant le service postfix, evidemment.

A+
--
Xavier Belanger