C
cogis

  • 28 sept. 2015
  • Inscrit 25 août 2015
  • Merci pour le tuto, au final, la configuration Nginx ne suffit-elle pas ? Elle ne bannis pas l'ip en fait.

    > julienth37, intéressant, en effet, si c'est le routeur avant le serveur qui pète ...
  • Malheureusement avec Android email j'ai ça
    Aug 26 01:12:43 serveur1 dovecot: imap-login: Disconnected (disconnected before greeting, waited 0 secs): user=<>, rip=90.18.54.x, lip=185.35.64.x, TLS handshaking: SSL_accept() failed: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher, session=<YQgO3yoeNgBaEjYV>
    

    en mettant :
    imap4 ssl (accepter tout les certificats) 993
    smtp TLS (accepter tout les certificats) 587

    Tu aurais une idée de la cause ?

    Merci
  • J'utilisais thunderbird, et rainloop

    Avec l'appli email par défaut d'Androïd, possible de config pour se connecté au serveur mail ?

    j'ai pas encore réussi, pourtant dans les logs ça a l'air bon, c'est peut être Android qui veut pas pour le certificat
  • Voilà ce que ca donne avec la premiere série : http://paste.debian.net/304922/

    Mais il y a pas mail.log dans le rapport alors je met les nouveaux log :
    Aug 26 00:15:05 serveur1 dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=185.35.64.117, lip=185.35.64.117, TLS handshaking: SSL_accept() failed: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher, session=<TTT3ECoeTwC5I0B1>
    Aug 26 00:15:07 serveur1 dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=185.35.64.117, lip=185.35.64.117, TLS handshaking: SSL_accept() failed: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher, session=<BiURESoeUAC5I0B1>
    
  • Oui elle fonctionne

    edit : je dois mettre à jour openssl ?
  • Ah oui, 2013 je pense que ça doit pas être à jour !
    OpenSSL 1.0.1e 11 Feb 2013
    root@serveur1:~# openssl ciphers -V "EECDH+AESGCM:AES128+EECDH:AES256+EECDH"
              0xC0,0x30 - ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(256) Mac=AEAD
              0xC0,0x2C - ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256) Mac=AEAD
              0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
              0xC0,0x2B - ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(128) Mac=AEAD
              0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
              0xC0,0x23 - ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA256
              0xC0,0x13 - ECDHE-RSA-AES128-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
              0xC0,0x09 - ECDHE-ECDSA-AES128-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA1
              0xC0,0x28 - ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA384
              0xC0,0x24 - ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA384
              0xC0,0x14 - ECDHE-RSA-AES256-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA1
              0xC0,0x0A - ECDHE-ECDSA-AES256-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA1
    
  • Salut,

    j'ai corrigé mes divers problème de SSL finalement, je pense que c'est dut à un petit oublie du tuto & script

    le fichier 10-ssl.conf présente cette ligne dans le tuto et le script :
    ssl_cipher_list = EECDH+AESGCM:AES128+EECDH:AES256+EECDH
    
    et on a dans le fichier de configuration complet : https://gist.github.com/hardware/91ed5e01929b8b414ae0
    ssl_cipher_list = ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
    

    Ca marche quand je met la ligne complète ... sinon j'avais plein d'erreur qui m'ont pris un temps fou, mais ça fait plaisir j'ai fini par trouvé o_o

    Ca vous cause pas de problème en mettant cette ligne incomplète & en faisant => service dovecot restart ?

    D'ailleurs on put pas combiné les 2 lignes ? la première est pas dans la 2ème
  • Bien le bonjour tout le monde !

    D'abord bravo à Hardware & BXT pour ces scripts, ca facilite vraiment la tache !

    Chez moi le script plante au moment de l'installation du redémarrage de spam assassin : http://puu.sh/jO5CQ/d1f8d24a45.png

    A la fin du script apparemment, voici le rapport du debuggeur : http://paste.debian.net/304827/

    Je vais essayé de trouver la solution, si vous avez une idée je suis tout ouïe


    Edit : je suis en train de faire l'installation avec le tuto, et le certificat : = /etc/ssl/certs/CAroot.crt n'est pas créé avec les commandes, vous pouvez m'aider ? corriger la ligne ?

    merci