與 Dovecot 的 IMAP TLS 連接失敗

原始標題：僅從 Thunderbird 到 Dovecot 的 IMAP 連接失敗

我已經在埠 993 上使用 SSL (TLS) 設置了 Dovecot。我可以連接 Outlook、PHP SMTP 和 Android Mail，但是 Thunderbird 無法連接。它說Configuration could not be verified - is the username or password wrong?。Dovecot 錯誤日誌顯示：

Jan 05 22:41:45 imap-login: Warning: SSL: where=0x10, ret=1: before/accept initialization [1.2.3.4]
Jan 05 22:41:45 imap-login: Warning: SSL: where=0x2001, ret=1: before/accept initialization [1.2.3.4]
Jan 05 22:41:45 imap-login: Warning: SSL alert: where=0x4008, ret=598: fatal unknown [1.2.3.4]
Jan 05 22:41:45 imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client hello C [1.2.3.4]
Jan 05 22:41:45 imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client hello C [1.2.3.4]
Jan 05 22:41:45 imap-login: Info: Disconnected (no auth attempts in 0 secs): user=<>, rip=1.2.3.4, lip=4.5.6.7, TLS handshaking: SSL_accept() failed: error:140A1175:SSL routines:SSL_BYTES_TO_CIPHER_LIST:inappropriate fallback, session=<yDs4Z48DudCBhYne>

我在 10-ssl.conf 中禁用了 SSLv2 和 SSLv3：

ssl_protocols = !SSLv2 !SSLv3
ssl_cipher_list = ALL:!LOW:!SSLv2:!EXP:!aNULL

問題可能是什麼？它在我嘗試過的所有其他電子郵件客戶端中執行良好，這就是為什麼這有點奇怪。

我要做的第一件事是更新客戶端。

這裡發生的是嘗試的協議降級。也就是說，客戶端正在嘗試從 TLSv1 降級到 SSLv3，或者從任何更高版本的 TLS 降級到更低版本。（確切地從日誌中不清楚，並且需要啟用更詳細的 OpenSSL 調試，但該特定細節並不真正相關。）

協議降級失敗的原因是您的伺服器啟用了協議降級預防 (TLS_FALLBACK_SCSV)，作為 POODLE 攻擊的緩解措施。

因此，首先要檢查的是確保客戶端是最新的；這意味著至少 Thunderbird 及其支持庫。

之後我會檢查協議列表。我擔心您沒有明確指定 TLSv1、TLSv1.1 和 TLSv1.2。雖然這不應該有什麼不同，因為這些應該預設啟用，它可能會有所幫助。

ssl_protocols = TLSv1.2 TLSv1.1 TLSv1 !SSLv3 !SSLv2

最後，您極有可能發現有人試圖攻擊您的連接，並且攻擊被挫敗。

引用自：https://serverfault.com/questions/656488