|
Компьютерный форум OSzone.net » Linux и FreeBSD » Программное обеспечение Linux и FreeBSD » [решено] Fetchmail не может сделать TLS на одном компьютере, на другом - работает |
|
[решено] Fetchmail не может сделать TLS на одном компьютере, на другом - работает
|
ИО Капитана Очевидности Сообщения: 5387 |
Профиль | Отправить PM | Цитировать Долгое время на одном компьютере с debian 10 программа fetchmail выполняла загрузку почты с внешнего сервера. Сейчас перестала
Попробовал установить и настроить fetchmail на другом компьютере - с Альт 9. При том же конфиге почему-то работает. ### Файл ~/.fetchmailrc poll poll2 proto imap via сервер.ru port 143 user "логин" pass "пароль" keep no fetchall no ssl sslcertpath /etc/ssl/certs sslfingerprint "BF:F0:D0:57:E2:31:B7:EB:B6:BB:24:9C:B7:9E:45:F7" Цитата:
Цитата:
Получается, что на первом компьютере программа по какой-то причине не может начать сеанс TLS с сервером Конфиги программы ~/.fetchmailrc совпадают При этом на первом компьютере с сервера яндекс.почты fetchmail загружает письма без проблем. То есть проблема возникает только с одним сервером. |
|||
------- Отправлено: 07:32, 27-07-2021 |
Забанен Сообщения: 6345
|
Смотрите версии openssl и их поддерживаемые protocols and ciphers.
openssl version openssl ciphers -v openssl ciphers -v | grep ECDHE-RSA-AES256-SHA384 для проверки поддержки конкретного сайфера, который использует второй компьютер. Также можно просканировать сервер на тему поддерживаемых протоколов и сайферов при помощи sslscan или аналогов. Скорее всего вам просто нужно обновить версию openssl/libssl на первом компьютере. Или разрешить не сервере, если он под вашим управлением, доступные первому пк протоколы и сайферы. В общем, согласовать версии. |
Отправлено: 11:04, 27-07-2021 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
ИО Капитана Очевидности Сообщения: 5387
|
Профиль | Отправить PM | Цитировать Завтра напишу версию и параметры первого компьютера.
А пока вопрос - как добавить указанный cipher клиенту? |
------- Отправлено: 15:51, 27-07-2021 | #3 |
Забанен Сообщения: 6345
|
Цитата El Scorpio:
Кстати вот команда в помощь для теста совместимости openssl s_client -starttls imap -connect server.ru:143 |
|
Отправлено: 16:01, 27-07-2021 | #4 |
ИО Капитана Очевидности Сообщения: 5387
|
Профиль | Отправить PM | Цитировать Нужный сайфер оказался в списке доступных. Для его использования достаточно было закомментировать в конфиге /etc/ssl/openssl.cnf одну строку
Теперь возникла вторая проблема Цитата:
Увы, в самом сертификате ссылка на родительский центр выдачи сертификатов выглядит так Цитата:
Или можно в настройках SSL отключить проверку цепочки? |
|||
------- Отправлено: 02:17, 28-07-2021 | #5 |
Забанен Сообщения: 6345
|
Цитата El Scorpio:
Что даёт openssl s_client -showcerts -starttls imap -connect server.ru:143 ? Если у последнего в цепочке subject и issuer совпадают, то достаточно просто проинсталить этот сертификат на клиенте. Админу того сервера пора пинка дать, серты стоят гроши или вообще ничего в случае летсенкрипт, за колхозинг с самоподписными сертами, которые не проинсталены сразу у клиентов нужно переводить в мойщики унитазов гг. Цитата El Scorpio:
Цитата El Scorpio:
man fetchmail
--sslcertck (Keyword: sslcertck, default enabled since v6.4.0) --sslcertck causes fetchmail to require that SSL/TLS be used and disconnect if it can not successfully negotiate SSL or TLS, or if it cannot successfully verify and validate the certificate and follow it to a trust anchor (or trusted root certificate). The trust anchors are given as a set of local trusted certificates (see the sslcertfile and sslcertpath options). If the server certificate cannot be obtained or is not signed by one of the trusted ones (directly or indirectly), fetchmail will disconnect, regardless of the sslfingerprint option. Note that CRL (certificate revocation lists) are only supported in OpenSSL 0.9.7 and newer! Your system clock should also be reasonably accurate when using this option. --nosslcertck (Keyword: no sslcertck, only in v6.4.X) The opposite of --sslcertck, this is a discouraged option. It permits fetchmail to continue connecting even if the server certificate failed the verification checks. Should only be used together with --sslfingerprint. |
|||
Последний раз редактировалось Jula0071, 28-07-2021 в 14:34. Причина: опечатка в команде openssl Отправлено: 12:33, 28-07-2021 | #6 |
ИО Капитана Очевидности Сообщения: 5387
|
Профиль | Отправить PM | Цитировать Цитата Jula0071:
Получается, что здесь достаточно проверки отпечатка (fingerprint) А debian - уже версию 6.4.0.beta4. Поэтому при одинаковых конфигах возникает ошибка проверки цепочки. Завтра добавлю в конфиг параметр nosslcertck и посмотрю, что получится. |
|
------- Отправлено: 13:41, 28-07-2021 | #7 |
Забанен Сообщения: 6345
|
Цитата El Scorpio:
|
|
Отправлено: 13:47, 28-07-2021 | #8 |
ИО Капитана Очевидности Сообщения: 5387
|
Профиль | Отправить PM | Цитировать Спасибо. Всё заработало!
|
------- Отправлено: 01:03, 29-07-2021 | #9 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Прочее - 3g модем ZTE MF667 не работает на другом компьютере... | Farrukhjon | Сетевое оборудование | 2 | 14-03-2013 14:48 | |
скрипт не работает на другом компьютере | trudmoy | AutoIt | 2 | 19-02-2011 15:15 | |
Прочее - 2 АДСЛ на одном VPN, Интернет на другом вместе не работает Интернет | gambit.rc | Сетевые технологии | 5 | 12-04-2010 05:48 | |
Принтер - На одном компьютере принтер опознается, а на другом нет?! | maximus87 | Прочее железо | 5 | 18-02-2009 10:08 | |
HDD - HDD работает на одном компе и не работает на другом | FMT | Накопители (SSD, HDD, USB Flash) | 2 | 25-11-2008 06:51 |
|