viernes, 4 de septiembre de 2015

Zimbra y TLS: Correos de GMAIL no aceptados

Este problema lo encontré meses atrás, hay poco escrito sobre esto. Me avisan que no estaban llegando los correos que nos enviaban desde GMAIL. En los logs del correo encontré entradas como estas: 

Feb 28 12:26:43 srv-correo postfix/smtpd[12137]: setting up TLS connection from mail-ig0-f170.google.com[209.85.213.170]
Feb 28 12:26:43 srv-correo postfix/smtpd[12137]: mail-ig0-f170.google.com[209.85.213.170]: TLS cipher list "aNULL:-aNULL:ALL:+RC4:@STRENGTH:!aNULL:!MD5:!DES"
Feb 28 12:26:43 srv-correo postfix/smtpd[12137]: SSL_accept:before/accept initialization
Feb 28 12:26:44 srv-correo postfix/smtpd[12137]: SSL_accept:SSLv3 read client hello A
Feb 28 12:26:44 srv-correo postfix/smtpd[12137]: SSL_accept:SSLv3 write server hello A
Feb 28 12:26:44 srv-correo postfix/smtpd[12137]: SSL_accept:SSLv3 write certificate A
Feb 28 12:26:44 srv-correo postfix/smtpd[12137]: SSL_accept:SSLv3 write key exchange A
Feb 28 12:26:44 srv-correo postfix/smtpd[12137]: SSL_accept:SSLv3 write server done A
Feb 28 12:26:44 srv-correo postfix/smtpd[12137]: SSL_accept:SSLv3 flush data
Feb 28 12:26:44 srv-correo postfix/smtpd[12137]: SSL3 alert read:fatal:protocol version
Feb 28 12:26:44 srv-correo postfix/smtpd[12137]: SSL_accept:failed in SSLv3 read client certificate A
Feb 28 12:26:44 srv-correo postfix/smtpd[12137]: SSL_accept error from mail-ig0-f170.google.com[209.85.213.170]: 0
Feb 28 12:26:44 srv-correo postfix/smtpd[12137]: warning: TLS library problem: 12137:error:1409442E:SSL routines:SSL3_READ_BYTES:tlsv1 alert protocol version:s3_pkt.c:1256:SSL alert number 70:


En el foro de zimbra hispano encontré una sola mención al problema. Intervine allí, y comente como lo resolví. En realidad lo que tengo es un paliativo, como el usuario zimbra ejecuté:

      postconf -e smtpd_tls_mandatory_protocols='!SSLv2,!SSLv3,!TLSv1.2'
      postconf -e smtpd_tls_protocols='!SSLv2,!SSLv3,!TLSv1.2'


La solución la encontré por ensayo y error, a partir de una discusión en serverfault.com . Acá esta el hilo, que a su vez hace referencia a otro hilo en los foros de FreeBSD. No he vuelto a tener problemas, en un próximo upgrade de Zimbra voy a probar esto con la configuración por defecto.

1 comentario:

  1. Hola Andrés, eso tiene una explicación puntual. Esta vinculado a la vulnerabilidad en SSLv3.

    Mirate este link: http://disablessl3.com/
    (lista configuraciones no solo para mail servers sino para web servers, browsers, java, openvpn, todo lo que use SSL)

    Enjoy!

    Saludos,
    Joâo

    ResponderEliminar