Ssl
與 Dovecot 的 IMAP TLS 連接失敗
原始標題:僅從 Thunderbird 到 Dovecot 的 IMAP 連接失敗
我已經在埠 993 上使用 SSL (TLS) 設置了 Dovecot。我可以連接 Outlook、PHP SMTP 和 Android Mail,但是 Thunderbird 無法連接。它說
Configuration could not be verified - is the username or password wrong?
。Dovecot 錯誤日誌顯示:Jan 05 22:41:45 imap-login: Warning: SSL: where=0x10, ret=1: before/accept initialization [1.2.3.4] Jan 05 22:41:45 imap-login: Warning: SSL: where=0x2001, ret=1: before/accept initialization [1.2.3.4] Jan 05 22:41:45 imap-login: Warning: SSL alert: where=0x4008, ret=598: fatal unknown [1.2.3.4] Jan 05 22:41:45 imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client hello C [1.2.3.4] Jan 05 22:41:45 imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client hello C [1.2.3.4] Jan 05 22:41:45 imap-login: Info: Disconnected (no auth attempts in 0 secs): user=<>, rip=1.2.3.4, lip=4.5.6.7, TLS handshaking: SSL_accept() failed: error:140A1175:SSL routines:SSL_BYTES_TO_CIPHER_LIST:inappropriate fallback, session=<yDs4Z48DudCBhYne>
我在 10-ssl.conf 中禁用了 SSLv2 和 SSLv3:
ssl_protocols = !SSLv2 !SSLv3 ssl_cipher_list = ALL:!LOW:!SSLv2:!EXP:!aNULL
問題可能是什麼?它在我嘗試過的所有其他電子郵件客戶端中執行良好,這就是為什麼這有點奇怪。
我要做的第一件事是更新客戶端。
這裡發生的是嘗試的協議降級。也就是說,客戶端正在嘗試從 TLSv1 降級到 SSLv3,或者從任何更高版本的 TLS 降級到更低版本。(確切地從日誌中不清楚,並且需要啟用更詳細的 OpenSSL 調試,但該特定細節並不真正相關。)
協議降級失敗的原因是您的伺服器啟用了協議降級預防 (TLS_FALLBACK_SCSV),作為 POODLE 攻擊的緩解措施。
因此,首先要檢查的是確保客戶端是最新的;這意味著至少 Thunderbird 及其支持庫。
之後我會檢查協議列表。我擔心您沒有明確指定 TLSv1、TLSv1.1 和 TLSv1.2。雖然這不應該有什麼不同,因為這些應該預設啟用,它可能會有所幫助。
ssl_protocols = TLSv1.2 TLSv1.1 TLSv1 !SSLv3 !SSLv2
最後,您極有可能發現有人試圖攻擊您的連接,並且攻擊被挫敗。