[Postfix-es] Error al tratar de enviar mail con SSL

Gorka gorkapostfix en yahoo.es
Mar Jun 3 14:45:40 CEST 2008 


> -----Mensaje original-----
> De: postfix-es-bounces en lists.wl0.org [mailto:postfix-es-
> bounces en lists.wl0.org] En nombre de Miguel Angel Tormo Alfaro
> Enviado el: lunes, 02 de junio de 2008 19:30
> Para: postfix-es en lists.wl0.org
> Asunto: Re: [Postfix-es] Error al tratar de enviar mail con SSL
> 
> El Lunes, 2 de Junio de 2008 19:17:43 Gorka escribió:
> >
> > > -----Mensaje original-----
> > > De: postfix-es-bounces en lists.wl0.org [mailto:postfix-es-
> > > bounces en lists.wl0.org] En nombre de Miguel Angel Tormo Alfaro
> > > Enviado el: lunes, 02 de junio de 2008 16:18
> > > Para: postfix-es en lists.wl0.org
> > > Asunto: Re: [Postfix-es] Error al tratar de enviar mail con SSL
> > > No me parece ningún  error, es totalmente normal siempre y cuando
> hayan
> > > pasado 300 segundos (5 minutos), que es el timeout que tiene
> > > especificado (lo dice en 'SSL-Session).
> > > Ejecuta el comando así:
> > > time openssl s_client -connect ip:puerto
> > > y cuando dé el error, pulsa enter y revisa el tiempo transcurrido.
> > > Solamente te deberías preocupar si es menor a 5 minutos.
> > >
> > > Por otro lado, lo que deberías hacer ahora es probar a enviarte un
> > > mail, escribe los comandos:
> > > openssl s_client -connect ip:puerto
> > > ehlo yomismo.com
> > > mail from: <mailqexista en dominio.com>
> > > rcpt to: <cuenta en mio.es>
> > > data
> > > Subject: Mail de pruebas
> > > From: Yo
> > > To: Mi
> > > Hola
> > > .
> > >
> > > Si llega el mail a 'cuenta en mio.es', entonces es que no tienes
> ningún
> > > problema en el servidor, deberías revisar los logs de las
> conexiones
> > > SSL, puede que haya algún problema con la negociación, pero me
> parece
> > > raro.
> >
> > Exacto. Pasan exáctamente 5 minutos antes de salir la última línea,
> eso es.
> >
> OK entonces no hay problema.
> 
> > Con respecto a la prueba de envío de correo, ... envía el mail
> perfectamente
> > tanto desde el propio servidor como desde otra máquina linux. Y, PARA
> MÁS
> > INRI, ahora desde Evolution en el propio servidor también lo envía
> (sin
> > tocar nada, lo juro), pero desde Outlook en un ordenador "remoto"
> sigue sin
> > funcionar el envío SSL.
> >
> > El error que da outlook es el siguiente:
> >
> > “La tarea 'Enviando john en example.com' ha notificado el error
> (0x800CCC1A) :
> > 'El servidor no admite el tipo de cifrado de conexión especificado.
> Intente
> > cambiar el método de cifrado. Póngase en contacto con el
> administrador del
> > servidor o con el proveedor de servicios de Internet (ISP) para
> obtener más
> > ayuda.'”
> >
> Bueno, pues ya lo tienes :P. En la negociación del protocolo SSL el
> cliente y el servidor exponen los algoritmos de cifrado y hash que
> permiten, y llegan a un acuerdo. Evidentemente, para que este acuerdo
> se produzca, al menos un algoritmo tiene que ser permitido por ambos.
> Probablemente Outlook no soporte ninguno de los algoritmos que esté
> ofreciendo tu postfix, así que deberías revisar la configuración para
> intentar ofrecer alguno más.
> 
> > Y las líneas de mail.log (¿Te refieres a esto con 'los logs de las
> > conexiones SSL'?) son:
> >
> > postfix/smtpd[12630]: connect from remoto.dominio.local[10.0.0.56]
> > postfix/smtpd[12630]: disconnect from remoto.dominio.local[10.0.0.56]
> > postfix/smtpd[12630]: warning: 10.0.0.56: hostname huesped
> verification
> > failed: No address associated with hostname
> > postfix/smtpd[12630]: connect from unknown[10.0.0.56]
> > postfix/smtpd[12630]: disconnect from unknown[10.0.0.56]
> > postfix/smtpd[12630]: connect from remoto.dominio.local[10.0.0.56]
> > postfix/smtpd[12630]: disconnect from remoto.dominio.local[10.0.0.56]
> >
> > ¿Puede tener algo que ver con la revisión del problema que tenía
> hasta Mayo
> > openssl?
> Puede, pero no creo. ¿Has actualizado openssl? Por cierto, ¿tenías
> claves generadas con el openssl problemático (paquetes a partir de 2006
> en testing, creo)? Si es así deberías volver a generarlas.

He actualizado openssl y las he vuelto a generar, y nada. Se me ha ocurrido
que podría ser un problema en la negociación del certificado SSL debido al
nombre del servidor utilizado. Quiero decir que en Evolution (en el mismo
servidor) sí que entiende perfectamente que la entidad emisora es localhost,
pero en Outlook (máquina remota de la LAN) no encuentra al servidor por el
FQDN que aparece en el certificado (sólo en 10.0.0.55, por ejemplo, de la
configuración de la cuenta). Trato de comprobarlo creando la famosa entrada
Mx en mi servidor DNS (que es un 2003 server). Utilizando servidor.mio.es en
la configuración del outlook sigue sin funcionar.

Finalmente se ma ha ocurrido hacer la prueba desde un Evolution en otra
máquina linux y ... ha funcionado correctamente. También he hecho la prueba
desde una segunda máquina Windows con Outlook (esta vez 2003 en lugar de
2007) y ... también ha funcionado correctamente, he probado desde
Thunderbird en las dos máquinas Windows y ... sigue sin funcionar, luego no
encuentro ningún patrón.

Creo que no voy a sacar mucho más que esto, así que he decidido dejar el
tema de momento, para ocuparme de otro problema más crítico que trato en
otro hilo. En cualquier caso muchas gracias Miguel Ángel por ayudarme
durante todos estos días, aunque no lo parezca gracias a ello he aprendido
mucho. Permaneceré atento al foro por si alguien tiene experiencias
similares. Un saludo.

Más información sobre la lista de distribución Postfix-es