Aller au contenu


454 4.7.0 TLS not available due to local problem "Résolu"

TLSv1 TLS

  • Veuillez vous connecter pour répondre
8 réponses à ce sujet

#1 kiterfoo

kiterfoo

    Membre avancé

  • Membres
  • 72 messages

Posté 03 avril 2020 - 22:35

Bonjour,
J'ai suivi ce tuto https://wiki.zimbra....o_disable_TLSv1 pour désactiver TLSv1 et 1.1 et depuis de n'importe quel serveur interne ou externe, j'ai un soucis avec TLS (telnet eole.abes.fr 587, EHLO toto, starttls) j'ai 454 4.7.0 TLS not available due to local problem
J'ai fais marche arrière et j'ai toujours le même message. j'ai restauré /opt/zimbra/common conf et toujours pareil.
Je séche , si quelqu'un a une idée ...
Fred
Release 8.8.12_GA_3817 CentOS7_64 NETWORK edition.

#2 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 431 messages
  • LocalisationBeaucaire - Gard

Posté 04 avril 2020 - 09:09

Pour revenir en arrière, tu as mis quoi dans tes variables ?
Tu as quelle version de ZCS (8.5.1 dans la signature, j'ai du mal à le croire quand même) ?

Au delà de Zimbra, il y a une discussion en ce moment sur FRSAG au sujet de TLS et SMTP.
Il en ressort que shooter TLS 1.0 et 1.1 (ce qui semble être la bonne pratique au premier abord) pose beaucoup de problèmes en SMTP par rapport au HTTP (parce que plein de vieilleries jamais mises à jour ne sont capables de causer qu'avec ces ciphers pour chiffrer).
Et que donc, c'est p'têt pas la bonne idée : si on empêche les vieilleries de causer TLS 1.0 ou 1.1, elles basculent en clair.

#3 kiterfoo

kiterfoo

    Membre avancé

  • Membres
  • 72 messages

Posté 04 avril 2020 - 20:32

Hello Klug,
voila ce que j'ai passé

zmprov mcf zimbraMtaSmtpdTlsProtocols '! SSLv2,! SSLv3'
zmprov mcf zimbraMtaSmtpTlsProtocols '! SSLv2,! SSLv3'

zmprov mcf zimbraMtaSmtpdTlsMandatoryProtocols '! SSLv2,! SSLv3'
zmprov mcf zimbraMtaSmtpTlsMandatoryProtocols '! SSLv2,! SSLv3'
zmmtactl restart

zmprov ms `zmhostname` +zimbraMailboxdSSLProtocols TLSv1    
zmprov ms `zmhostname` +zimbraMailboxdSSLProtocols TLSv1.1
zmmailboxdctl restart


zmprov mcf +zimbraReverseProxySSLProtocols TLSv1
zmprov mcf +zimbraReverseProxySSLProtocols TLSv1.1
zmproxyctl restart

oui j'ai bin compris pour les vieilleries :)
Merci
Release 8.8.12_GA_3817 CentOS7_64 NETWORK edition.

#4 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 431 messages
  • LocalisationBeaucaire - Gard

Posté 05 avril 2020 - 16:18

J'ai vérifié pour les quatre premiers paramètres, j'ai la même chose.

En variables globales, j'ai ça (et j'ai touché à rien pour les serveurs qui devraient hériter de ça) :
$ zmprov gacf zimbraMailboxdSSLProtocols
zimbraMailboxdSSLProtocols: TLSv1
zimbraMailboxdSSLProtocols: TLSv1.1
zimbraMailboxdSSLProtocols: TLSv1.2
zimbraMailboxdSSLProtocols: SSLv2Hello
$ zmprov gacf zimbraReverseProxySSLProtocols
zimbraReverseProxySSLProtocols: TLSv1
zimbraReverseProxySSLProtocols: TLSv1.1
zimbraReverseProxySSLProtocols: TLSv1.2


#5 kiterfoo

kiterfoo

    Membre avancé

  • Membres
  • 72 messages

Posté 05 avril 2020 - 20:24

Merci,
J'ai la même chose, et plus ça va, plus je me dis que ça sent le réseau, je vais voir si je trouve quelque chose ...
Fred
Release 8.8.12_GA_3817 CentOS7_64 NETWORK edition.

#6 kiterfoo

kiterfoo

    Membre avancé

  • Membres
  • 72 messages

Posté 06 avril 2020 - 10:33

Quelqu'un peu me dire en comparant avec son main.cf si j'ai un truc qui cloche ?

smtpd_tls_cert_file = /opt/zimbra/conf/smtpd.crt
smtpd_tls_key_file = /opt/zimbra/conf/smtpd.key
smtpd_tls_loglevel = 1
smtpd_tls_ask_ccert = no
smtpd_tls_ccert_verifydepth = 9
smtpd_tls_auth_only = yes
smtpd_tls_CAfile =
smtpd_tls_security_level = may
smtpd_tls_mandatory_protocols = ! SSLv2,! SSLv3
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_CApath =
smtpd_tls_dh1024_param_file = /opt/zimbra/conf/dhparam.pem
smtpd_tls_ciphers = export
smtpd_tls_protocols = ! SSLv2,! SSLv3
smtpd_tls_received_header = no
smtpd_tls_exclude_ciphers =


Merci
Release 8.8.12_GA_3817 CentOS7_64 NETWORK edition.

#7 kiterfoo

kiterfoo

    Membre avancé

  • Membres
  • 72 messages

Posté 06 avril 2020 - 13:04

Hello tous,
Sur l'idée dun Dev de chez moi, j'ai enlevé l'espace entre ! et SSLv ... pour toute les lignes. (fichier que j'ai pourtant restauré, et ou il y avait cet espace ...)
Et la miracle ça fonctionne à nouveau.
Fred
Release 8.8.12_GA_3817 CentOS7_64 NETWORK edition.

#8 kiterfoo

kiterfoo

    Membre avancé

  • Membres
  • 72 messages

Posté 06 avril 2020 - 13:06

Heuuuuu, comment on fait pour classer ce sujet comme "Résolu" ?????
J'ai beau chercher .... mais je ne vois pas, :)
Release 8.8.12_GA_3817 CentOS7_64 NETWORK edition.

#9 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 431 messages
  • LocalisationBeaucaire - Gard

Posté 08 avril 2020 - 09:37

C'est pas un cut/paste malheureux vers un éditeur de texte qui s'estime capable de corriger la frappe en cours qui aurait ajouté l'espace ?
Parce que c'est sûr et certain qu'il n'est pas là.

Vérifié à l'instant sur un de mes serveurs en 8.8.12 :
.../...
smtpd_reject_unlisted_recipient = no
smtpd_tls_protocols = !SSLv2, !SSLv3
tls_append_default_CA = no
.../...





0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)