Postfix "TLS library problem"

Support Debian
Tags: #<Tag:0x00007f509cae5300>
#1

Bonjour a tous,

Dans mes log de mon serveur POSTFIX j’ai ceci qui reviens en permanence, savez vous pourquoi ?

Merci

Jul  7 15:41:06 postfix/smtpd[20780]: warning: TLS library problem: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate:../ssl/record/rec_layer_s3.c:1544:SSL alert number 42:
Jul  7 16:17:41 postfix/smtpd[22339]: warning: TLS library problem: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate:../ssl/record/rec_layer_s3.c:1544:SSL alert number 42:
Jul  7 16:21:36 postfix/smtpd[22339]: warning: TLS library problem: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate:../ssl/record/rec_layer_s3.c:1544:SSL alert number 42:
Jul  7 16:29:37  postfix/smtpd[22339]: warning: TLS library problem: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate:../ssl/record/rec_layer_s3.c:1544:SSL alert number 42:
Jul  7 17:00:25 postfix/smtpd[23379]: warning: TLS library problem: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate:../ssl/record/rec_layer_s3.c:1544:SSL alert number 42:
Jul  7 18:00:42 postfix/smtpd[25183]: warning: TLS library problem: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate:../ssl/record/rec_layer_s3.c:1544:SSL alert number 42:
Jul  7 20:00:02  postfix/submission/smtpd[28196]: warning: TLS library problem: error:14209175:SSL routines:tls_early_post_process_client_hello:inappropriate fallback:../ssl/statem/statem_srvr.c:1742:
Jul  7 20:00:02 postfix/submission/smtpd[28196]: warning: TLS library problem: error:14209175:SSL routines:tls_early_post_process_client_hello:inappropriate fallback:../ssl/statem/statem_srvr.c:1742:
Jul  7 20:00:03 postfix/submission/smtpd[28196]: warning: TLS library problem: error:14209175:SSL routines:tls_early_post_process_client_hello:inappropriate fallback:../ssl/statem/statem_srvr.c:1742:
Jul  7 20:00:03 postfix/submission/smtpd[28198]: warning: TLS library problem: error:14209175:SSL routines:tls_early_post_process_client_hello:inappropriate fallback:../ssl/statem/statem_srvr.c:1742:
Jul  7 20:02:00 postfix/submission/smtpd[28196]: warning: TLS library problem: error:14209175:SSL routines:tls_early_post_process_client_hello:inappropriate fallback:../ssl/statem/statem_srvr.c:1742:
Jul  7 20:02:00 postfix/submission/smtpd[28231]: warning: TLS library problem: error:14209175:SSL routines:tls_early_post_process_client_hello:inappropriate fallback:../ssl/statem/statem_srvr.c:1742:
Jul  7 20:02:01 postfix/submission/smtpd[28196]: warning: TLS library problem: error:14209175:SSL routines:tls_early_post_process_client_hello:inappropriate fallback:../ssl/statem/statem_srvr.c:1742:
Jul  7 20:02:01 postfix/submission/smtpd[28231]: warning: TLS library problem: error:14209175:SSL routines:tls_early_post_process_client_hello:inappropriate fallback:../ssl/statem/statem_srvr.c:1742:
Jul  7 20:03:15 postfix/submission/smtpd[28196]: warning: TLS library problem: error:14209175:SSL routines:tls_early_post_process_client_hello:inappropriate fallback:../ssl/statem/statem_srvr.c:1742:
	Line 46230: Sep  3 13:26:31 postfix/smtpd[109697]: warning: TLS library problem: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate:../ssl/record/rec_layer_s3.c:1544:SSL alert number 42:
	Line 51117: Sep  3 14:22:47 postfix/smtpd[111440]: warning: TLS library problem: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown:../ssl/record/rec_layer_s3.c:1544:SSL alert number 46:
	Line 51150: Sep  3 14:22:50 postfix/smtpd[110506]: warning: TLS library problem: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown:../ssl/record/rec_layer_s3.c:1544:SSL alert number 46:
	Line 51637: Sep  3 14:28:15 postfix/smtpd[111720]: warning: TLS library problem: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate:../ssl/record/rec_layer_s3.c:1544:SSL alert number 42:

et

	Line 4: Sep  3 00:00:24  postfix/submission/smtpd[88172]: SSL_accept error from alille-651-1-141-22.w90-1.abo.wanadoo.fr[90.1.140.22]: -1
	Line 19: Sep  3 00:00:52 postfix/submission/smtpd[87766]: SSL_accept error from alille-651-1-141-22.w90-1.abo.wanadoo.fr[90.1.140.22]: -1
	Line 31: Sep  3 00:01:21 postfix/submission/smtpd[87766]: SSL_accept error from alille-651-1-141-22.w90-1.abo.wanadoo.fr[90.1.140.22]: -1
	Line 37: Sep  3 00:01:59 postfix/submission/smtpd[88172]: SSL_accept error from alille-651-1-141-22.w90-1.abo.wanadoo.fr[90.1.140.22]: -1
	Line 42: Sep  3 00:02:01 postfix/submission/smtpd[87766]: SSL_accept error from alille-651-1-141-22.w90-1.abo.wanadoo.fr[90.1.140.22]: -1
	Line 48: Sep  3 00:02:05  postfix/submission/smtpd[88172]: SSL_accept error from alille-651-1-141-22.w90-1.abo.wanadoo.fr[90.1.140.22]: -1
	Line 58: Sep  3 00:02:22 postfix/submission/smtpd[87766]: SSL_accept error from alille-651-1-141-22.w90-1.abo.wanadoo.fr[90.1.140.22]: -1
	Line 64: Sep  3 00:03:08 postfix/submission/smtpd[88172]: SSL_accept error from alille-651-1-141-22.w90-1.abo.wanadoo.fr[90.1.140.22]: -1
	Line 69: Sep  3 00:03:17 postfix/submission/smtpd[87766]: SSL_accept error from alille-651-1-141-22.w90-1.abo.wanadoo.fr[90.1.140.22]: -1
	Line 74: Sep  3 00:03:19 postfix/submission/smtpd[88172]: SSL_accept error from alille-651-1-141-22.w90-1.abo.wanadoo.fr[90.1.140.22]: -1
	Line 81: Sep  3 00:04:02 postfix/submission/smtpd[87766]: SSL_accept error from alille-651-1-141-22.w90-1.abo.wanadoo.fr[90.1.140.22]: -1
	Line 86: Sep  3 00:04:03 postfix/submission/smtpd[88172]: SSL_accept error from alille-651-1-141-22.w90-1.abo.wanadoo.fr[90.1.140.22]: -1
	Line 91: Sep  3 00:04:20 postfix/submission/smtpd[87766]: SSL_accept error from alille-651-1-141-22.w90-1.abo.wanadoo.fr[90.1.140.22]: -1
	Line 96: Sep  3 00:04:48 postfix/submission/smtpd[88172]: SSL_accept error from alille-651-1-141-22.w90-1.abo.wanadoo.fr[90.1.140.22]: -1
	Line 101: Sep  3 00:05:06 postfix/submission/smtpd[87766]: SSL_accept error from alille-651-1-141-22.w90-1.abo.wanadoo.fr[90.1.140.22]: -1
	Line 106: Sep  3 00:05:16 postfix/submission/smtpd[88172]: SSL_accept error from alille-651-1-141-22.w90-1.abo.wanadoo.fr[90.1.140.22]: -1
#2

Bonjour,

Pour la première partie ce sont des clients qui tentent une connexion sur le port 587 (submission) ou 465 (smtps) en utilisant des algos de chiffrement incompatibles avec ta configuration Postfix. Par exemple tentative de connexion en TLSv1.0 alors que celui-ci est explicitement refusé par Postfix et le client ne sait pas utiliser une version supérieure.

Pour la seconde partie idem : le client 90.1.140.22 (légitime ou pas ?) tente une connexion sur le port 587 avec un algo de chiffrement trop faible pour la configuration de Postfix.

#3

Bonjour Bruno,

Merci, es que je peux autoriser le TLSv1.0 ? es que c’est dangereuse ?
Je pense que c’est des mails legitim car ils viennent de wanadoo…
Pour info c’est toujours la même IP qui reviens: 90.1.140.22

Merci

#4

Je te conseille au contraire de plutôt chercher à blinder la configuration TLS et d’interdire TLSv1 et TLSv1.1 au minimum.
cf. https://ssl-config.mozilla.org/#server=postfix&version=3.4.8&config=intermediate&openssl=1.1.1d&guideline=5.6

Un client est-il légitime à s’authentifier sur ton serveur SMTP simplement parce qu’il est abonné Orange (Wanadoo) ?

#5

Je ne sais pas en faite si c’est un client legitime.

Voici ce que j’ai dans mon main.cf

smtpd_tls_loglevel            = 1
smtpd_tls_auth_only           = yes
smtpd_tls_security_level      = may
smtpd_tls_received_header     = yes
smtpd_tls_protocols           = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers   = medium

Faut t’il que je prenne la config que tu ma donner sur le lien ?
Cela veux dire que je vais accepter le !TLSv1, !TLSv1.1 ?

#6

Pour la configuration, c’est ton serveur, c’est toi qui voit :wink:

Quand même tu dois bien savoir si c’est susceptible de correspondre à une machine d’une personne qui possède des identifiants pour se connecter, non ?

#7

Quand même tu dois bien savoir si c’est susceptible de correspondre à une machine d’une personne qui possède des identifiants pour se connecter, non ?

Non sa ne correspond a personne.

du coup j’ai mis la configuration Intermédiaire :

smtpd_tls_security_level = may
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /path/to/signed_cert_plus_intermediates
smtpd_tls_key_file = /path/to/private_key
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_mandatory_ciphers = medium

tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
tls_preempt_cipherlist = no

Je te tiens informé si cela fonctionne ou pas.
merci

#8

Avec cette config en haut j’ai toujours :

SSL_accept error from lmontsouris-656-1-11-134.w92-154.abo.wanadoo.fr[92.154.83.134]: -1

#9

Oui et alors ?
Est-ce que tu as compris mon explication précédente sur la raison de ces lignes dans les logs ?

#10

Oui je pense,

Chiffrement incompatibles avec ma config.
Mais c’est une personne extérieur qui essaye d’envoyer un mail ?
Je n’ai pas bien compris ce qui se passe…

Le problème c’est que j’ai ai 5000 par jours c’est énorme, y’ t’il un moyen de bloquer c’est connexion du coup ?

#11

Tu as des services ouverts sur l’extérieur : SMTP, Submission, SMTPS, c’est normal que les logs se remplissent de tentatives de connexions.
Si ton serveur est correctement configuré et que les utilisateurs du courriel ont des mots de passe suffisamment forts, ce n’est pas un problème. Par contre si les utilisateurs risquent d’avoir des mots de passe un peu faibles (il peuvent changer leur mot de passe eux-mêmes, par exemple), il faut utiliser fail2ban pour bloquer au bout de quelques tentatives de connexion.

#12

OK,

j’ai bien fail2ban qui me bloque les connexion postfix, postfix-sasl, ssh, sshd…
peux etre qu’il n’est pas configurer pour submission ? je me trompe peu etre ?
Je vais regarder du coté de fail2ban

#13

C’est parfait, mais je ne pense pas que fail2ban ait de filtre adapté pour bloquer les connexions qui échouent à cause d’un mauvais protocole TLS.

Tu pourrais te créer un filtre mais AMHA, ce n’est pas utile car ce type de tentative échoue immédiatement. Typiquement cela donne dans les logs d’un serveur Postfix :

Sep  2 15:57:29 ks10 postfix/submission/smtpd[116187]: connect from unknown[138.99.216.112]
Sep  2 15:57:29 ks10 postfix/submission/smtpd[116187]: SSL_accept error from unknown[138.99.216.112]: -1
Sep  2 15:57:29 ks10 postfix/submission/smtpd[116187]: warning: TLS library problem: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol:../ssl/statem/statem_srvr.c:1661:
Sep  2 15:57:29 ks10 postfix/submission/smtpd[116187]: lost connection after STARTTLS from unknown[138.99.216.112]
Sep  2 15:57:29 ks10 postfix/submission/smtpd[116187]: disconnect from unknown[138.99.216.112] ehlo=1 starttls=0/1 commands=1/2
#14

Ok sa marche,

Du coup es que il y a moyen de mettre c’est log dans un autre fichier ?
Car c’est vraiment pénible d’avoir toutes c’est ligne dans le mail.log

#15

Je ne vois pas ce que cela a de pénible, à moins que tu ne passe ta vie à lire les logs de ton serveur :wink:
Et non, ce serait une mauvaise idée.

#16

Non mais je regarde assez régulièrement les logs, en quand tu as 3000 lignes : lost connection after STARTTLS c’est un peu pénible…

Dans le fichier de fail2ban j’ai :

/etc/fail2ban/filter.d/postfix.auth.conf

failregex = lost connection after (AUTH|UNKNOWN|EHLO) from (.*)\[\]

puis dans :

/etc/fail2ban/jail.local :

[postfix-auth]
enabled = true
filter = postfix.auth
action = iptables-multiport[name=postfix, port="http,https,smtp,submission,pop3,pop3s,imap,imaps,sieve", protocol=tcp]
# sendmail[name=Postfix, dest=you@mail.com]
logpath = /var/log/mail.log

Es que si je rajoute (AUTH|UNKNOWN|EHLO|STARTTLS) il va le prendre en compte ?

#17

Salut , j’ai un relu la conversation, Bruno1 a raison faut plutôt blinder ton serveur mail , moi-même j’ai un serveur mail qui tourne depuis 5 ans et j’ai pas mal bricoler dessus jusqu’à ce qui sois assez sécuriser mais qu’il laisse passer pratiquement tout les mails légitime, j’ai jamais eu je pense quelqu’un qui veut m’envoyer un mail d’un ancien compte "wanadoo ", je savais même pas que ça existe encore :sweat_smile: ce que je fais de temps en temps je vérifie l’adresse ip ,si elle n’est pas répertorier chez « www.abuseipdb.com » j’ai vu que non.
Je n’es jamais eu a ajouter : !TLSv1, !TLSv1.1
tanpis pour ceux qui ne sont pas a jour sur leur adresse mail.
De ce qui est du filtre fail2ban moi j’ai mis :

[INCLUDES]
before = common.conf
[Definition]
_daemon = postfix(-\w+)?/(?:submission/|smtps/)?smtp[ds]
failregex = ^%(__prefix_line)slost connection after (AUTH|UNKNOWN|EHLO|STARTTLS|CONNECT) 
from .*\[<HOST>\]$
ignoreregex =
#18

Hello,
merci,
D’accord et avec cette config ca fontionne de fail2ban ?

#19

oui , cette règle fail2ban fonctionne bien avec ceci dans les logs par exemple :
‹ connect from unknown[XXX.XX.XX.XX]
SSL_accept error from unknown[XXX.XX.XX.XX]: lost connection
lost connection after STARTTLS from unknown[XXX.XX.XX.XX]
disconnect from unknown[XXX.XX.XX.XX] ehlo=1 starttls=0/1 commands=1/2 ›
sinon cela ce repète ou reviens plusieurs fois .
Le mieux si tu vois des entrées illégitime , est de crée une règle adapter.