Сбой starttls после изменения IP-адреса

Question

Сбой starttls после изменения IP-адреса

Я изменил IP-адрес нашего почтового сервера exim (виртуальная машина была скопирована на другой хост, также сетевая конфигурация использует NAT). Теперь он больше не принимает соединение STARTTLS от клиента Windows Thunderbird. Это работает со всеми другими почтовыми клиентами, хотя.

Сообщение об ошибке Thunderbird что-то вроде can't set up a secure connection to mail.mydomain.de using STARTTLS, because the server is not offering this function. Disable STARTTLS or contact your provider, Однако почтовый сервер exim предлагает STARTTLS, и он все еще работает на старой системе.

Вот выдержка из журнала отладки exim:

27666 accept: condition test succeeded
27666 SMTP>> 220 s0107.mydomain.de ESMTP (Exim 4.77) Fri, 31 Oct 2014 05:23:27 +0100
27666 Process 27666 is ready for new message
27666 smtp_setup_msg entered
27666 SMTP<< EHLO [192.168.1.115]
27666 sender_fullhost = ip-123-123-123-123.hsi07.unitymediagroup.de ([192.168.1.115]) [123.123.123.123]
27666 sender_rcvhost = ip-123-123-123-123.hsi07.unitymediagroup.de ([123.123.123.123] helo=[192.168.1.115])
27666 set_process_info: 27666 handling incoming connection from ip-123-123-123-123.hsi07.unitymediagroup.de ([192.168.1.115]) [123.123.123.123]
27666 host in pipelining_advertise_hosts? yes (matched "*")
27666 host in auth_advertise_hosts? yes (matched "*")
27666 host in tls_advertise_hosts? yes (matched "*")
27666 SMTP>> 250-s0107.mydomain.de Hello ip-123-123-123-123.hsi07.unitymediagroup.de [123.123.123.123]
27666 250-SIZE 52428800
27666 250-PIPELINING
27666 250-AUTH PLAIN LOGIN CRAM-MD5
27666 250-STARTTLS
27666 250 HELP
27666 SMTP<< QUIT
27666 SMTP>> 221 s0107.mydomain.de closing connection
27666 LOG: smtp_connection MAIN
27666   SMTP connection from ip-178-200-216-217.hsi07.unitymediagroup.de ([192.168.1.115]) [123.123.123.123] closed by QUIT
27666 search_tidyup called
27654 child 27666 ended: status=0x0
27654 0 SMTP accept processes now running
27654 Listening...

В исходной системе последние несколько строк выглядят так:

2362 250-SIZE 52428800
2362 250-PIPELINING
2362 250-AUTH PLAIN LOGIN CRAM-MD5
2362 250-STARTTLS
2362 250 HELP
2362 SMTP<< STARTTLS
2362 setting SSL CTX options: 0x800
2362 tls_certificate file /etc/pki/tls/exim_tls/exim.cert
2362 tls_privatekey file /etc/pki/tls/exim_tls/exim.key
...

Кажется, это проблема клиента, но я понятия не имею, почему изменение IP-адреса должно иметь какое-либо влияние на рукопожатие STARTTLS. Пожалуйста, порекомендуйте.

0

exim starttls thunderbird

Источник

nn4l 31 окт '14 в 05:15

1 ответ

Решение

Другие вопросы по тегам exim starttls thunderbird

MadHatter 02 ноя '14 в 21:45 2014-11-02 21:45 · Accepted Answer · 2014-11-02 21:45

Выше подтвердили, что изменилось больше, чем просто IP-адрес: в частности, новая сеть, в которую была перемещена виртуальная машина, находится за брандмауэром CISCO ASA.

Эти брандмауэры делают то, что они описывают как "исправление протокола", что в случае SMTP означает, что они могут испортить информацию, передаваемую на уровне 4. telnetот вашего клиента к серверу и выдача SMTP EHLO Команда, вы подтвердили, что хотя сервер является рекламой STARTTLS возможность, CISCO удаляет эту рекламу из пакетов в полете. Клиент не видит STARTTLS будучи предложенным и настроенным на это, выручает.

Вы не говорите, находится ли CISCO под вашим контролем, но вы установили, что подключения к порту 587 на сервере не подвержены аналогичному воздействию (хотя я подозреваю, что это проблема с конфигурацией CISCO, и некоторые будущие администраторы могут легко включить ее), Таким образом, у вас есть, по крайней мере, пока обходной путь.

Почему CISCO считает хорошей идеей убрать возможности шифрования с почтовых серверов, которые он защищает, для меня загадка. Но в результате этого CISCO в этом режиме непригодны для защиты почтовых серверов.