Test di Dovecot

17 marzo 2011 by Roberto Puzzanghera 7 commenti

`netstat` test

Ora che quasi tutti i servizi sono stati installati, possiamo controllare che le porte riguardanti il mail server siano aperte e attive come ci si aspetta:

# netstat -plunt

Active Internet connections (only servers) 
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name     
tcp        0      0 0.0.0.0:587             0.0.0.0:*               LISTEN      5644/tcpserver       
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      23216/dovecot/imap-  
tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN      23605/dovecot        
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      23216/dovecot/imap-  
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      5638/tcpserver       
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      23605/dovecot        
tcp        0      0 0.0.0.0:89              0.0.0.0:*               LISTEN      5645/tcpserver       
tcp        0      0 0.0.0.0:465             0.0.0.0:*               LISTEN      5662/sslserver       
tcp        0      0 0.0.0.0:4190            0.0.0.0:*               LISTEN      23605/dovecot

Test del server POP3

Il seguente test con la password in chiaro funzionerà solo da localhost. Gli altri IP possono connettersi solo in modalità sicura.

# telnet [your-IP] 110
Trying [your-IP]...
Connected to [your-IP].
Escape character is '^]'.
+OK Dovecot ready.
user test@yourdomain.net
+OK
pass [PASSWORD]
+OK Logged in.
quit
+OK Logging out.
Connection closed by foreign host.

Controlliamo anche la modalità in connessione sicura sulla porta 995

openssl s_client -connect [your-IP]:995

Test del server IMAP

Ora testiamo il server IMAP. Il seguente test con la password in chiaro funzionerà solo da localhost.

# telnet [your-IP] 143
Trying [your-IP]...
Connected to [your-IP].
Escape character is '^]'.
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE STARTTLS AUTH=PLAIN AUTH=LOGIN AUTH=DIGEST-MD5 AUTH=CRAM-MD5] Dovecot ready.
a login test@yourdomain.net [PASSWORD]
a OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE SORT SORT=DISPLAY THREAD=REFERENCES THREAD=REFS MULTIAPPEND UNSELECT IDLE CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH LIST-STATUS QUOTA] Logged in
a select inbox
* FLAGS (\Answered \Flagged \Deleted \Seen \Draft)
* OK [PERMANENTFLAGS (\Answered \Flagged \Deleted \Seen \Draft \*)] Flags permitted.
* 0 EXISTS
* 0 RECENT
* OK [UIDVALIDITY 1287576448] UIDs valid
* OK [UIDNEXT 1] Predicted next UID
* OK [HIGHESTMODSEQ 1] Highest
a OK [READ-WRITE] Select completed.
a list "" *
* LIST (\HasNoChildren) "." "INBOX"
a OK List completed.
a GETQUOTA "" 
* QUOTA "" (STORAGE 29620 409600) 
a OK Getquota completed (0.001 + 0.000 secs).
a logout
* BYE Logging out
a OK Logout completed.
Connection closed by foreign host.

Abbiamo testato la connessione e se il server sia in grado di trovare la mailbox. Come si può vedere l'unica cartella è INBOX.

Testiamo anche la connessione sicura sulla porta 993:

openssl s_client -connect [your-IP]:993

Avvio

Filtrare

dovecot

aggiungi un commento

Commenti

TLS da errore "wrong Version Number"

massimo spataro 13 dicembre 2024 15:40 CET

Ciao sulla mia Debian 12.8 dopo il primo rinnovo dei certificati il sistema di trasmissione e ricezione sembra totalmente fuori uso:

Sembra che i certificati invocano qualcosa di SSL3 che non è compatibile.

La porta 25 sembra funzionare correttamente

La porta 993 sembra funzionare ma non visualizza i nuovi messaggi arrivati e non da segni di errori nei log.

La porta 143 e 587 presentano questo problema di versione SSL3 Errata.

il trace dei comandi di test:

openssl s_client -connect localhost:143
CONNECTED(00000003)
804B44138A7F0000:error:0A00010B:SSL routines:ssl3_get_record:wrong version number:../ssl/record/ssl3_record.c:354:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 5 bytes and written 297 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---

Qualche Idea su cosa si sia impiantato dopo l'aggiornamento ?

Rispondi | Permalink

TLS da errore

massimo spataro massimo spataro 13 dicembre 2024 16:53 CET

OpenSSL 3.0.15 3 Sep 2024 (Library: OpenSSL 3.0.14 4 Jun 2024)

Questa è la versione sul Debian 12.8

# openssl s_client -connect imap.esssrl.it:993 | more
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = E5
verify return:1
depth=0 CN = imap.esssrl.it
verify return:1
CONNECTED(00000003)
---
Certificate chain
0 s:CN = imap.esssrl.it
i:C = US, O = Let's Encrypt, CN = E5
a:PKEY: id-ecPublicKey, 256 (bit); sigalg: ecdsa-with-SHA384
v:NotBefore: Dec 11 14:17:11 2024 GMT; NotAfter: Mar 11 14:17:10 2025 GMT
1 s:C = US, O = Let's Encrypt, CN = E5
i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
a:PKEY: id-ecPublicKey, 384 (bit); sigalg: RSA-SHA256
v:NotBefore: Mar 13 00:00:00 2024 GMT; NotAfter: Mar 12 23:59:59 2027 GMT
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIDfjCCAwSgAwIBAgISA4s3bR9M7eC/0XmE6Gz3jn5rMAoGCCqGSM49BAMDMDIx
CzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MQswCQYDVQQDEwJF
NTAeFw0yNDEyMTExNDE3MTFaFw0yNTAzMTExNDE3MTBaMBkxFzAVBgNVBAMTDmlt
YXAuZXNzc3JsLml0MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE0AS9/ktZB9/y
APk0p/W5WDmJD7ikYTDYT/c8MH+9BH7zBOQyTe39e2hsEqWrAG3cpodUeOBDM/mH
4L5yGCGFTKOCAhEwggINMA4GA1UdDwEB/wQEAwIHgDAdBgNVHSUEFjAUBggrBgEF
BQcDAQYIKwYBBQUHAwIwDAYDVR0TAQH/BAIwADAdBgNVHQ4EFgQUGN+DnUYOWxWJ

ecc...

L'invio di mail dal Client da questo messaggio inquietante sulla porta 587 autenticata password normale STARTTLS e non c'è verso che parta:

Invio del messaggio non riuscito.
Si è verificato un errore durante l’invio della posta: errore nel server posta in uscita (SMTP). Il server ha risposto: TLS no valid RSA private key: error:FFFFFFFF80000002:system library::No such file or directory (#4.3.0).

Rispondi | Permalink

TLS da errore

Roberto Puzzanghera massimo spataro 13 dicembre 2024 19:58 CET

system library::No such file or directory (#4.3.0)

leggi bene il log però...

Rispondi | Permalink

TLS da errore

Roberto Puzzanghera massimo spataro 13 dicembre 2024 16:04 CET

pardon, non avevo letto bene. Stai parlando di dovecot e non di qmail-smtpd

Apri il file di configurazione di dovecot 10-ssl.conf

ssl_min_protocol = TLSv1

e metti SSLv3. Riavvia dovecot.

Rispondi | Permalink

TLS da errore

massimo spataro Roberto Puzzanghera 13 dicembre 2024 16:38 CET

La modifica del file /usr/local/dovecot/etc/dovecot/conf.d/10-ssl con

ssl_min_protocol = TLSv1  # *--> a SSLv3

ha prodotto al login del mail client nello start di Dovecot nel /var/log/dovecot/dovecot.log

Dec 13 16:26:14 imap-login: Error: Failed to initialize SSL server context: Unknown ssl_min_protocol setting 'SSL3v3': user=<>, rip=10.0.0.43, lip=192.168.0.10, session=<7myNcygpgf0KAAAr>
Dec 13 16:26:14 imap-login: Error: Failed to initialize SSL server context: Unknown ssl_min_protocol setting 'SSL3v3': user=<>, rip=10.0.0.43, lip=192.168.0.10, session=<9b+Ncygpgv0KAAAr>
Dec 13 16:26:25 imap-login: Error: Failed to initialize SSL server context: Unknown ssl_min_protocol setting 'SSL3v3': user=<>, rip=10.0.0.43, lip=192.168.0.10, session=<5OExdCgphP0KAAAr>

mentre con TLSv1 produce questo log:

Dec 13 16:35:56 imap-login: Info: Login: user=<XXXX@esssrl.it>, method=PLAIN, rip=10.0.0.43, lip=192.168.0.10, mpid=918717, TLS, session=<KlxCligp9/0KAAAr>
Dec 13 16:35:56 imap-login: Info: Login: user=<XXXX@lisp.it>, method=PLAIN, rip=10.0.0.43, lip=192.168.0.10, mpid=918718, TLS, session=<g5NCligp+P0KAAAr>
Dec 13 16:35:56 imap-login: Info: Login: user=<XXXX@esssrl.it>, method=PLAIN, rip=10.0.0.43, lip=192.168.0.10, mpid=918720, TLS, session=<GU5Bligp+v0KAAAr>

che è corretto ma non aggiorna nel client la posta che è arrivata nel frattempo

Rispondi | Permalink

TLS da errore

Roberto Puzzanghera massimo spataro 13 dicembre 2024 19:56 CET

SSLv3 non SSL3v3

Rispondi | Permalink

TLS da errore

Roberto Puzzanghera massimo spataro 13 dicembre 2024 16:01 CET

Ciao, per caso hai escluso il protocollo SSLv3 da /var/qmail/control/tlsserverciphers? Nella impostazione da me consigliata

HIGH:MEDIUM:!MD5:!RC4:!3DES:!LOW:!SSLv2:!SSLv3

SSLv3 non è accettato perchè non è sicuro. Se questa fosse la causa del problema e volessi ammettere SSLv3 toglilo da tlsserverciphers, che quindi diventa

HIGH:MEDIUM:!MD5:!RC4:!3DES:!LOW:!SSLv2:!SSLv3

e riavvia qmail

Rispondi | Permalink

aggiungi un commento

Test di Dovecot

`netstat` test

Test del server POP3

Test del server IMAP

Commenti

TLS da errore "wrong Version Number"

TLS da errore

TLS da errore

TLS da errore

TLS da errore

TLS da errore

TLS da errore

qmail notes

LXC scripts

Other contents

Guide per gli utenti

Ultimi commenti

Vedi anche...

Articoli recenti

Test di Dovecot

netstat test

Test del server POP3

Test del server IMAP

Commenti

TLS da errore "wrong Version Number"

TLS da errore

TLS da errore

TLS da errore

TLS da errore

TLS da errore

TLS da errore

qmail notes

LXC scripts

Other contents

Guide per gli utenti

Ultimi commenti

Vedi anche...

Articoli recenti

`netstat` test