[Postfix-es] Error al tratar de enviar mail con SSL

[Miguel Angel Tormo Alfaro]

El Lunes, 2 de Junio de 2008 19:17:43 Gorka escribió:
> 
> > -----Mensaje original-----
> > De: postfix-es-bounces en lists.wl0.org [mailto:postfix-es-
> > bounces en lists.wl0.org] En nombre de Miguel Angel Tormo Alfaro
> > Enviado el: lunes, 02 de junio de 2008 16:18
> > Para: postfix-es en lists.wl0.org
> > Asunto: Re: [Postfix-es] Error al tratar de enviar mail con SSL
> > No me parece ningún  error, es totalmente normal siempre y cuando hayan
> > pasado 300 segundos (5 minutos), que es el timeout que tiene
> > especificado (lo dice en 'SSL-Session).
> > Ejecuta el comando así:
> > time openssl s_client -connect ip:puerto
> > y cuando dé el error, pulsa enter y revisa el tiempo transcurrido.
> > Solamente te deberías preocupar si es menor a 5 minutos.
> > 
> > Por otro lado, lo que deberías hacer ahora es probar a enviarte un
> > mail, escribe los comandos:
> > openssl s_client -connect ip:puerto
> > ehlo yomismo.com
> > mail from: <mailqexista en dominio.com>
> > rcpt to: <cuenta en mio.es>
> > data
> > Subject: Mail de pruebas
> > From: Yo
> > To: Mi
> > Hola
> > .
> > 
> > Si llega el mail a 'cuenta en mio.es', entonces es que no tienes ningún
> > problema en el servidor, deberías revisar los logs de las conexiones
> > SSL, puede que haya algún problema con la negociación, pero me parece
> > raro.
> 
> Exacto. Pasan exáctamente 5 minutos antes de salir la última línea, eso es.
> 
OK entonces no hay problema.

> Con respecto a la prueba de envío de correo, ... envía el mail perfectamente
> tanto desde el propio servidor como desde otra máquina linux. Y, PARA MÁS
> INRI, ahora desde Evolution en el propio servidor también lo envía (sin
> tocar nada, lo juro), pero desde Outlook en un ordenador "remoto" sigue sin
> funcionar el envío SSL.
> 
> El error que da outlook es el siguiente:
> 
> “La tarea 'Enviando john en example.com' ha notificado el error (0x800CCC1A) :
> 'El servidor no admite el tipo de cifrado de conexión especificado. Intente
> cambiar el método de cifrado. Póngase en contacto con el administrador del
> servidor o con el proveedor de servicios de Internet (ISP) para obtener más
> ayuda.'”
>
Bueno, pues ya lo tienes :P. En la negociación del protocolo SSL el cliente y el servidor exponen los algoritmos de cifrado y hash que permiten, y llegan a un acuerdo. Evidentemente, para que este acuerdo se produzca, al menos un algoritmo tiene que ser permitido por ambos. Probablemente Outlook no soporte ninguno de los algoritmos que esté ofreciendo tu postfix, así que deberías revisar la configuración para intentar ofrecer alguno más.
 
> Y las líneas de mail.log (¿Te refieres a esto con 'los logs de las
> conexiones SSL'?) son:
> 
> postfix/smtpd[12630]: connect from remoto.dominio.local[10.0.0.56]
> postfix/smtpd[12630]: disconnect from remoto.dominio.local[10.0.0.56]
> postfix/smtpd[12630]: warning: 10.0.0.56: hostname huesped verification
> failed: No address associated with hostname
> postfix/smtpd[12630]: connect from unknown[10.0.0.56]
> postfix/smtpd[12630]: disconnect from unknown[10.0.0.56]
> postfix/smtpd[12630]: connect from remoto.dominio.local[10.0.0.56]
> postfix/smtpd[12630]: disconnect from remoto.dominio.local[10.0.0.56]
> 
> ¿Puede tener algo que ver con la revisión del problema que tenía hasta Mayo
> openssl?
Puede, pero no creo. ¿Has actualizado openssl? Por cierto, ¿tenías claves generadas con el openssl problemático (paquetes a partir de 2006 en testing, creo)? Si es así deberías volver a generarlas. 

> Lo digo porque el hecho de que funcione "de repente" en el
> Evolution del servidor me resulta bastante extraño para un entorno Debian
> Linux.
Sí que es bastante extraño,  en linux las cosas no pasan porque sí, pero en ocasiones hay algún cambio que se nos escapa.