Win10 - Outlook 2013 - SMTP + SSL

ka at mayten.sch.bme.hu ka at mayten.sch.bme.hu
2016. Már. 7., H, 10:29:05 CET


Szia,

On 2016-03-07 07:32, Venczel József wrote:
> Tehát csak és kizárólag a Win10+Outlook illetve Win8.1+Outlook
> kombinációkkal nem megy a levélküldés.
> 

Ennel a mondatnal volt egy otletem, de aztan kiprobaltam kezzel es 
megvaltozott a velemenyem.  De azert leirom mindket gondolatot, mert a 
masodik azon tul, hogy cafolja az elsot, nincs sok ertelme, ha win7 
alatt mukodik.  Felteve, hogy titkositassal mukodik.

Szoval elso korben arra gyanakodtam, hogy a szerver valamilyen regebbi, 
nem biztonsagos openssl verziot hasznal.  Mint az kozismert, az elmult 
evben - masfel evben szamtalan ssl-lel kapcsolatos hiba derult ki - a 
legutobbi a mult heten, ez a DROWN tamadas.  De voltak korabban is: 
heartbleed (CVE-2014-0160), POODLE (CVE-2014-3566), FREAK 
(CVE-2015-0204), LogJam (CVE-2015-4000).  Ezek szinte mindegyike ellen a 
megoldas nem csak az volt, hogy tessek frissiteni az ssl-t, de az is, 
hogy korabbi titkositasi algoritmusokat, kulcsmereteket elerhetetlenne 
lehetett tenni.  Tobb tamadas a felsoroltak kozul arra epult, hogy a 
kulcsmeretet lecsokkentette a tamado megfelelo protokoll uzenetekkel, 
illetve arra, hogy csokkentette az adott kapcsolat titkositasat, peldaul 
SSLv2 szintig, ami mar regen nem elfogadhato.  Ezek ellen tehat a 
megoldas az volt, hogy a szerver nem fogad el bizonyos titkositasi 
algoritmusnal gyengebbet, vagy bizonyos kulcsmeretnel rovidebbet.

Ezeket a vedekezesi modszereket a kliens oldalon is meg kellett tenni, 
tehat a bongeszokbe, levelezo programokba es ugy altalaban minden kliens 
alkalmazasba epitett titkositast erintoen a fenti valtozasok 
vegbementek.  Letiltasra kerultek regi protokollok es a minimum 
kulcsmeret megnott.

Azok alapjan amit irsz, hogy ti. win 7 es tarsai alatt teljesen jol 
mukozik (titkositassal!), de friss windowson nem, arra gondoltam, hogy a 
kliensedben mar ezek a valtozasok megtortentek (alapertelmezetten a 
friss rendszerben ezek a beallitasok) de a szerver oldalon ezek a 
javitasok nem tortentek meg.  Igy jelenleg nincs kozos algoritmus amit 
beszelni tudnanak.

A jelenseg ahhoz, hasonlatos, mintha ma egy korszeru (tls 1.2) https 
webldalt IE6 -tal akarnek megnezni.  Nem lehet, mert az IE6 nem ismeri 
meg azokat a protokollokat, amiket ma hasznalunk.

A levelben szerepelt a debrecen.hu, mint domain, aminek DNS szerint az 
MX-e mx-in.debrecen.hu (193.6.184.23).  Nem irtad, igy csak 
feltetelezem, hogy ezt hasznalod az SMTP beallitasoknal.

Azt irod SMTP+SSL, ez a 465-os portra utal, de ezen nem biztosit 
szolgaltatasokat a szerver, igy szerintem STARTSSL -re gondolsz, amikor 
a plain text kapcsolatbol a STARTSSL parancs hatasara varazsolodik 
titkositott kapcsolat.  A 25-os port ugyanis elerheto es bzitosit 
szolgaltatasokat.

Igy aztan megneztem, milyen titkositasokat tamogat es a fenti elmeletem 
igazolasat latom:

193.6.184.29:443
supports SSLv2 export ciphers

Azaz a fenti IP cimen van egy HTTPS szerver is, ami kivulrol elfogad 
SSLv2 titkositast is.  Azaz minden jel arra utal, hogy a rajta levo 
webszerver serulekeny, regi openssl verziot tamogat.  Eselyes, hogy 
ugyanaz a tanusitvany ugyanolyan beallitasokkal erheto el SMTP-re is, 
igy egyszeruen arrol van szo, hogy a kliensed tul intelligens a szerver 
elmaradottsagahoz kepest.

Egy kicsit jobban megvizsgalva ezt a szervert, az latszik, hogy a 
kulcshossza 1024 bites (regi, rovid), az alkalmazott hitelesites SHA1-re 
epul (regi, nem megbizhato).

Szoval az elso gondolatom a fenti volt.  Aztan kiprobaltam kezzel is.  A 
465-os porton nem valaszol semmi, a 25-oson pedig semmilyen 
titkositasnak tuno optio nincs:

250-SIZE 500000000
250-PIPELINING
250-8BITMIME
250 HELP
startssl
500 Syntax error, command unrecognized

Igy aztan nem csoda, hogy nem mukodik a klienseddel.

A helyedben egy wireshark-kal megneznem, pontosan mi tortenik a halozati 
forgalomban, mikor nem mukodik, ugyanis ott le lesz irva pontosan az oka 
mindennek (esetleg osszevetnem egy mukodo mintaval win7-rol).  Ha ez 
kliens oldali hibara utal, javitsd ki, ha nem, jelezd a szerver 
uzemelteteoje fele.

udv
adam










További információk a(z) Techinfo levelezőlistáról