Jump to content

Recommended Posts

Ce message est un coup de gueule et une information pour ceux qui administre un serveur SMTP

 

J'ai installé mon propre serveur SMTP depuis une dizaine de jour en le configurant pour utiliser TLS.

 

Pour ce faire, je n'ai pas auto-signé de certificat X.509, mais je suis passé par CACert, parce que j'aime bien leur service et surtout, il dispose de certificat root et classe 3 que je peux installer dans mon client mail (c'est plus propre que l'exception de sécurité). Néanmoins, ils ne sont pas reconnu comme une CA respectable (comprendre, ils ne font pas raquer les gens)

 

Bref...

 

Tout ce passe très bien avec Gmail -> lorsque je reçois un mail depuis les serveurs de Google, la communication est bien chiffrée (en TLS 1 mais passons)

 

Tout ce passe mal avec Microsoft -> lorsque je reçois un mail depuis une adresse Hotmail, la communication n'est pas chiffrée ! Quand bien même les headers du mail indiquent que le mail est reçu via  "over TLS secured channel with Microsoft SMTPSVC"

 

(pas de problèmes en revanche lorsque j'envoie du  mail chez MS, c'est chiffré. Bon le premier mail a tendance à tomber dans le spam - j'ai pourtant SPF et DKIM correctement configuré - mais c'est chiffré).

En augmentant le niveau de log, voici ce qui se passe pour le mail en provenance de MS :

postfix/smtpd[8599]: initializing the server-side TLS engine
postfix/smtpd[8599]: connect from blu004-omc3s34.hotmail.com[65.55.116.109]
postfix/smtpd[8599]: setting up TLS connection from blu004-omc3s34.hotmail.com[65.55.116.109]
postfix/smtpd[8599]: blu004-omc3s34.hotmail.com[65.55.116.109]:
                     TLS cipher list "aNULL:-aNULL:ALL:!EXPORT:!LOW:!MEDIUM:+RC4:@STRENGTH:!aNULL:!MD5:!RC4"
postfix/smtpd[8599]: SSL_accept:before/accept initialization
postfix/smtpd[8599]: SSL_accept:SSLv3 read client hello A
postfix/smtpd[8599]: SSL_accept:SSLv3 write server hello A
postfix/smtpd[8599]: SSL_accept:SSLv3 write certificate A
postfix/smtpd[8599]: SSL_accept:SSLv3 write key exchange A
postfix/smtpd[8599]: SSL_accept:SSLv3 write server done A
postfix/smtpd[8599]: SSL_accept:SSLv3 flush data
postfix/smtpd[8599]: SSL_accept:failed in SSLv3 read client certificate A
postfix/smtpd[8599]: SSL_accept error from blu004-omc3s34.hotmail.com[65.55.116.109]: lost connection
postfix/smtpd[8599]: lost connection after STARTTLS from blu004-omc3s34.hotmail.com[65.55.116.109]
postfix/smtpd[8599]: disconnect from blu004-omc3s34.hotmail.com[65.55.116.109]
postfix/smtpd[8599]: connect from blu004-omc3s34.hotmail.com[65.55.116.109]
tumgreyspf[8601]: 'sender SPF authorized': QUEUE_ID=""; identity=mailfrom;
                   client-ip=65.55.116.109; helo=blu004-omc3s34.hotmail.com;
                   envelope-from=xxx@hotmail.fr; receiver=john@shaft;
postfix/smtpd[8599]: B31BC4052C: client=blu004-omc3s34.hotmail.com[65.55.116.109]
postfix/cleanup[8602]: B31BC4052C: message-id=<BLU437-SMTP1014F2C4E138045905EF13C8E900@phx.gbl>
opendkim[2484]: B31BC4052C: blu004-omc3s34.hotmail.com [65.55.116.109] not internal
opendkim[2484]: B31BC4052C: not authenticated
opendkim[2484]: B31BC4052C: no signature data
postfix/qmgr[8068]: B31BC4052C: from=<xxx@hotmail.fr>, size=1422, nrcpt=1 (queue active)
spamd[2661]: spamd: connection from localhost [127.0.0.1] at port 33924
spamd[2661]: spamd: setuid to debian-spamd succeeded
postfix/smtpd[8599]: disconnect from blu004-omc3s34.hotmail.com[65.55.116.109]

On constate que le client tente une connexion via STARTTLS, se plante et se reconnecte sans chiffrement pour délivrer le mail.

 

J'ai passé un temps fou à comprendre ce qui se passait jusqu'à ce que je me décide se faire un tcpdump sur le port SMTP :

 

le client blu004-omc3s34.hotmail.com commence bien par une commande STARTTLS après le EHLO, récupère le certificat X.509 de mon serveur (rien d'anormal ici) puis se déconnecte et se reconnecte mais n'essaie pas de chiffrer  et balance directement directement son MAIL FROM après le EHLO.

 

Donc MS ne veut pas de mon certificat X.509 et décide de ne pas chiffrer la connexion et oblige à aller chez des marchants de certifs (bizarrement, après avoir récupéré un certif chez Gandi, ça chiffre) :cartonrouge:
 

Autre point aberrant, MS demande à ce que le mail arrivant par chez lui respecte SPF et DKIM. Pas de soucis, je le fais aussi. En revanche, MS ne semble pas utiliser DKIM pour le mail provenant de chez lui... Bref, un poids 2 mesure chez MS... Là où son concurrent (Google donc) est bien plus permissif. Pas testé Yahoo ceci dit.

 

Conclusion : si je veux recevoir les mails de mes amis utilisant Hotmail via une connexion chiffrée -> 14,40€ / an (chez Gandi). :craint:

Link to post
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...