Q&A
SSL V3.0は、脆弱性の為、停止が推奨されているようです。
https://www.miraclelinux.com/security/cve-2014-3566
- サーバー
CentOS8.2
- MTA
Dovecot2.3.10.1
Postfix3.5.6
という環境です。
スマホアプリで「TypeApp」というメールアプリがあるのですが、
POP3でメールアカウントの設定をしようとすると、iOS版で接続に失敗します。
その際、/var/log/maillogには、下記のように出力されていました。
dovecot[1036182]:pop3-login: Disconnected (no auth attempts in 0 secs): user=<>, rip={接続元IP}, lip={メールサーバーのIP}, TLS handshaking: SSL_accept() failed: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown: SSL alert number 46, session=<{セッションの乱数}>
同じアプリのAndroid版や、iOS標準の「メール」アプリでは接続に成功し、送受信とも問題なく行えます。
iPhone10なので、iOSが古いということはないと思います。
また、WindowsのPCではThunderbird(最新バージョン)でも問題ないです。
メールサーバーは、Let's EncryptですがSSL証明書を適用しています。
接続できないのはアプリ側の原因でしょうか?
また、これを回避するためにメールサーバー側で何か対応できる余地はあるでしょうか?
詳しくはないのですが、上記のログにある
sslv3 alert certificate unknown
というのが気になります。
/etc/main.cnfでは
smtpd_tls_mandatory_ciphers = medium smtpd_tls_protocols = TLSv1 TLSv1.1 TLSv1.2 smtpd_tls_mandatory_protocols = TLSv1 TLSv1.1 TLSv1.2
となっているのに、なぜsslv3が出てくるのか?という感じです。
情報が揃っているかどうかも分かりませんが、調査に行き詰まっておりまして、
道筋やヒントでも結構ですのでお聞きしたいです。
宜しくお願いいたします。
ありがとうございます。
ご記載の内容は把握しておりました。
TypeApp側の接続設定はどうなっていますか?SLL V3.0を使用する設定になっていませんか?
iphoneの「設定」の中しか見てなかったですが、アプリでの設定画面を見ても、それらしき設定が見つかりません。そういう設定があるのでしょうか?
回答2件
0
postfix, dovecot は CentOS 8.2 で提供されているバージョンとは異なるようですが、どのようにインストールしましたか?
POP3 を受けるのは postfix ではなく dovecot ですので、dovecot の TLS まわりを確認ください。
TLS 接続で失敗しているので、SSL/TLS のバージョンが合わない、もしくは、Cipher が合わない可能性が考えられます。
(2020/12/18 18:08) 追記
「alert certificate unknown」なので証明書に問題があるのかもしれません。
メールサーバーは、Let's EncryptですがSSL証明書を適用しています。
これは postfix 側だけでなく、/etc/dovecot/private/dovecot.pem もそうなのでしょうか?
もし、dovecot.pem が自己署名証明書なのであれば、TypeApp または iOS がそれを許可していないのかもしれません。
投稿2020/12/18 00:18
編集2020/12/18 09:08
総合スコア12141
ありがとうございます。サーバー管理にPlesk(バージョン18)を使用しており、Pleskインストール時にpostfixとdovecot(その他もろもろ)がインストールされました。
Pleskの場合、dovecotの設定ファイルは
/etc/dovecot/conf.d/11-plesk-security-ssl.conf
なのですが、その設定では
sssl_min_protocol=TLSv1
ssl_cipher_list=EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20:EECDH+SHA256+AES128:EECDH+SHA384+AES256:EDH+SHA256+AES128:EDH+SHA256+AES256:EECDH+SHA1+AES128:EECDH+SHA1+AES256:EDH+SHA1+AES128:EDH+SHA1+AES256:EECDH+HIGH:EDH+HIGH:AESGCM+AES128:AESGCM+AES256:CHACHA20:SHA256+AES128:SHA256+AES256:SHA1+AES128:SHA1+AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK:!KRB5:!aECDH
となっています。
上記の以外の設定は
ssl_prefer_server_ciphers=yes
ssl_dh=</usr/local/psa/etc/dhparams2048.pem
ssl=yes
ssl_cert=</etc/dovecot/private/dovecot.pem
ssl_key=</etc/dovecot/private/dovecot.pem
となっています。投げやりみたいですみません…
0
設定からTLSv1を削除して試して見てください
投稿2020/12/17 16:16
総合スコア2840
あなたの回答
tips
プレビュー
