<div dir="ltr">Hello Mesdames et Messieurs<br><div><br></div><div>Je m'amuse à monter un petit serveur postfix à la maison, et j'ai mis un peu le nez dans la configuration TLS.</div><div><br></div><div>Sauf que j'avoue être confronté à l'interopérabilité avec les serveurs SMTP tiers.</div><div>J'ai pris la décision de "respecter" certains standard et actes conseillé, cependant je crois que cela est un poil barbare.</div><div><br></div><div>Je vois quelques logs passer m'indiquant des erreurs de configuration du TLS. Pourtant certains mails passent, d'autre non.</div><div><br></div><div>Exemple :</div><div>2020-04-03T06:45:32.116577+00:00 mail postfix/smtpd[21357]: connect from <a href="http://lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr" target="_blank">lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr</a>[92.154.95.236] <br>2020-04-03T06:45:32.188745+00:00 mail postfix/smtpd[21357]: setting up TLS connection from <a href="http://lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr" target="_blank">lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr</a>[92.154.95.<br>236]
                                                                        
                                                                        <br>2020-04-03T06:45:32.190314+00:00 mail postfix/smtpd[21357]: <a href="http://lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr" target="_blank">lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr</a>[92.154.95.236]: TLS cipher list "TLSv1.2:<br>ECDHE:!AES128:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!EXP:!MEDIUM:!LOW:!SSLv2:!MD5:!DES:!ADH:!RC4:!PSD:!SRP:!3DES:!eNULL:!aNULL"<br>2020-04-03T06:45:32.192204+00:00 mail postfix/smtpd[21357]: SSL_accept:before SSL initialization   <br>2020-04-03T06:45:32.208266+00:00 mail postfix/smtpd[21357]: SSL_accept:before SSL initialization<br>2020-04-03T06:45:32.210173+00:00 mail postfix/smtpd[21357]: SSL3 alert write:fatal:protocol version                                         <br>2020-04-03T06:45:32.211278+00:00 mail postfix/smtpd[21357]: SSL_accept:error in error                                                       <br>2020-04-03T06:45:32.212614+00:00 mail postfix/smtpd[21357]: SSL_accept error from <a href="http://lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr" target="_blank">lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr</a>[92.154.95.236]: -1<br>2020-04-03T06:45:32.213057+00:00 mail postfix/smtpd[21357]: warning: TLS library problem: error:14209102:SSL routines:tls_early_post_process_client_<br>hello:unsupported protocol:ssl/statem/statem_srvr.c:1660:                                                                                           <br>2020-04-03T06:45:32.214265+00:00 mail postfix/smtpd[21357]: lost connection after STARTTLS from <a href="http://lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr" target="_blank">lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr</a>[92.15<br>4.95.236]
                                                                        
                                                                   <br>2020-04-03T06:45:32.215988+00:00 mail postfix/smtpd[21357]: disconnect from <a href="http://lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr" target="_blank">lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr</a>[92.154.95.236] ehlo=1 sta<br>rttls=0/1 commands=1/2</div><div><br></div><div>Comme vous pouvez le constater ma cipherlist est "réduite"</div><div>TLSv1.2:ECDHE:!AES128:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!EXP:!MEDIUM:!LOW:!SSLv2:!MD5:!DES:!ADH:!RC4:!PSD:!SRP:!3DES:!eNULL:!aNULL</div><div>On peut retrouver la liste des ciphers rattaché avec openssl cphers -V 'TLSv1.2:ECDHE:!AES128:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!EXP:!MEDIUM:!LOW:!SSLv2:!MD5:!DES:!ADH:!RC4:!PSD:!SRP:!3DES:!eNULL:!aNULL'</div><div><br></div><div>Mon idée de départ était de respecter les préco suivantes :</div><div>Pas de SSLv2, SSLv3</div><div>Pas de TLS1.0, ni TLS1.1 (fin de vie de ce derneir cette année)</div><div>retrait de l'AES 128 (ainsi que du camellia128) car il existe leur équivalent en 256.<br></div><div><br></div><div>A la vue de ce log, est-ce que cela signifie que Wanadoo (!) transmets encore ces mails par le biais du SSLv3 ?</div><div>Pourtant SSLv3 est faillible à POODLE...</div><div><br></div><div>Est-il judicieux d'indiquer que tous les échanges avec le daemon smtpd se font en TLS ?<br></div><div>l'option afférente étant : smtpd_tls_auth_only = yes</div><div><br></div><div>Finalement est-il pertinent de "respecter" les recommendations du TLS, si certains ne les respectent pas. La question est plus ou moins inutile, car oui c'est  pertinent, mais n'est ce pas de la discrimination que de laisser ceux qui sont à la traîne pour mettre à jour leur confs, au risque de leur retirer leur moyens d'expression ?<br></div><div>Prochaienement
 la campagne des impots va commencer, et je souhaiterais recevoir le 
mail du centre des finances. Mais si ces percepteurs disposent de 
serveurs mails foireux, je ne sais si je vais parvenir à payer mes 
impots.</div><div><br></div><div>Bien à vous,</div><div><br></div><div>PM.</div></div>