Re: authentification SMTP

Top Page

Reply to this message
Author: Jérôme Kieffer
Date:  
To: guilde
Subject: Re: authentification SMTP

Merci de tes investigations ...

> Je me suis permis de faire quelques tests en me connectant
> à ton serveur et voici les résultats :
>
> xavier@thinkpad:~$ openssl s_client -connect islay.terre-adelie.org:587 -starttls smtp
> CONNECTED(00000003)
> depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3
> verify error:num=10:certificate has expired
> notAfter=Sep 30 14:01:15 2021 GMT
>
> L'ancien certificat racine de Let's Encrypt est expiré depuis plus
> d'un an mais est toujours référencé.
>
> [ https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/ ]
>
> Il est possible que cela soit ce qui bloque l'authentification
> si le client que tu utilises à distance n'utilise pas la bonne
> chaine de validation.


J'utilse toujours encore letsencrypt/certbot de debian 10 (verision
0.31) ... je pense avoir reussi a mettre a jour le certificat ... en
tous cas, il n'a plus l'air de raler.

> Une autre chose que j'ai pu noter, tu utilises l'authentification
> CRAM-MD5 qui est n'est plus recommandé depuis 2008 :


Je savais ca ... mais comme ca passe sur du crypté ... je pensais qu'il
y avait pas trop de problèmes.

> Je n'ai pas essayé de décoder les chaînes en base64, mais je te recommende
> de changer de mot de passe dans tous les cas.


Le mot de passe a été changé. On retouve facilement le login, mais le
mot de passe est salé (certe MD5 se casse depuis les années 2000)...

> À partir du moment où la connection réseau est établie avec TLS
> utiliser les mécanismes 'PLAIN' et 'LOGIN' devraient être suffisant.
> Tu devrais pouvoir configurer cela dans le fichier
> /etc/sasl2/smtpd.conf ou equivalent (j'ai une machine Rocky Linux
> comme référence, je n'ai pas de Debian sous la main).


Je pense que l'erreur est par là car j'ai desactive CRAM-MD pour ne
laisser que "PLAIN" mais lorsque je teste avec gsasl2, j'ai toujours la
même reponse qui selectionne "CRAM-MD5".

>
> Une autre amélioration (mais qui n'est pas sûrement pas liée
> à ton problème initial) serait de désactiver le support pour
> TLS 1.0 et TLS 1.1, qui sont maintenant obsolètes :
>
> xavier@thinkpad:~$ nmap -p T:587 --script ssl-enum-ciphers
> islay.terre-adelie.org Starting Nmap 7.70 ( https://nmap.org ) at
> 2022-12-20 08:16 EST Nmap scan report for islay.terre-adelie.org
> Host is up (0.12s latency).
>
> PORT    STATE SERVICE
> 587/tcp open  submission
> | ssl-enum-ciphers: 
> |   TLSv1.0: 
>  (...)
> |   TLSv1.1: 
>  (...)
> |   TLSv1.2: 
>  (...)

>
> Nmap done: 1 IP address (1 host up) scanned in 51.77 seconds
>
> Cela peut se faire avec la configuration suivant dans le fichier
> main.cf :
>
> smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1


pour info, il semblerait que ce soit plutot:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1

sur postfix 3.4 (debian10)

Je continue sur une autre piste. J'ai la partie crypto au carré mais
sans que cela améliore le probleme initial.

A++

Jerome