RSS for all categories
FS#3877 — TLS dans POP3/IMAP4/SMTP
Attached to Project— Emails
| Incident | |
| tout | |
| CLOSED | |
 |
Lors que vous vous connectez sur le port POP3/IMAP4 en
"non securisé" (le port 110/143), le serveur POP3/IMAP4
qu'on utilise, envoit le message disant que malgré tout
on peut utiliser le TLS et donc passer dans un tunnel
crypté.
Techniquement ça marche.
Sauf qu'il y a des erreurs de certificats lors de la
création du tunnel car vous vous connectez sur le serveur
ns0.ovh.net:110 ou ns0.ovh.net:143 voir pure pop3.votredomaine.tls:110
et le certificat SSL est seulement pour ssl0.ovh.net.
2 solutions:
- nous allons patcher notre serveur pourqu'il arrete d'envoyer
les informations erronées même si techniquement ça marche
# telnet localhost 110
Trying 127.0.0.1...
Connected to localhost.localdomain.
Escape character is '^]'.
+OK Welcome to OVH Mail server
CAPA
+OK
CAPA
TOP
UIDL
RESP-CODES
PIPELINING
STLS ----> erreur
USER
SASL PLAIN
.
QUIT
+OK Logging out
Connection closed by foreign host.
# telnet localhost 143
Trying 127.0.0.1...
Connected to localhost.localdomain.
Escape character is '^]'.
* OK [CAPABILITY QUOTA IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE STARTTLS AUTH=PLAIN] Welcome to OVH Mail server
^^^^^^^^ erreur
1 LOGOUT
* BYE Logging out
1 OK Logout completed.
Connection closed by foreign host.
- il suffit de changer le nom de serveur que vous attaquez de
ns0.ovh.net/pop3.votredomaine vers ssl0.ovh.net et là tout
fonctionne aussi bien en SSL (POP3S/IMAP4S c'est à dire le
port 995/993) qu'en TLS (POP3/IMAP4 c'est à dire le port
110/143).
Date: Thursday, 18 February 2010, 13:32PM"non securisé" (le port 110/143), le serveur POP3/IMAP4
qu'on utilise, envoit le message disant que malgré tout
on peut utiliser le TLS et donc passer dans un tunnel
crypté.
Techniquement ça marche.
Sauf qu'il y a des erreurs de certificats lors de la
création du tunnel car vous vous connectez sur le serveur
ns0.ovh.net:110 ou ns0.ovh.net:143 voir pure pop3.votredomaine.tls:110
et le certificat SSL est seulement pour ssl0.ovh.net.
2 solutions:
- nous allons patcher notre serveur pourqu'il arrete d'envoyer
les informations erronées même si techniquement ça marche
# telnet localhost 110
Trying 127.0.0.1...
Connected to localhost.localdomain.
Escape character is '^]'.
+OK Welcome to OVH Mail server
CAPA
+OK
CAPA
TOP
UIDL
RESP-CODES
PIPELINING
STLS ----> erreur
USER
SASL PLAIN
.
QUIT
+OK Logging out
Connection closed by foreign host.
# telnet localhost 143
Trying 127.0.0.1...
Connected to localhost.localdomain.
Escape character is '^]'.
* OK [CAPABILITY QUOTA IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE STARTTLS AUTH=PLAIN] Welcome to OVH Mail server
^^^^^^^^ erreur
1 LOGOUT
* BYE Logging out
1 OK Logout completed.
Connection closed by foreign host.
- il suffit de changer le nom de serveur que vous attaquez de
ns0.ovh.net/pop3.votredomaine vers ssl0.ovh.net et là tout
fonctionne aussi bien en SSL (POP3S/IMAP4S c'est à dire le
port 995/993) qu'en TLS (POP3/IMAP4 c'est à dire le port
110/143).
Reason for closing: Done
On applique le patch.
fixé
Il y a encore le TLS sur le ns0.ovh.net sur le port SMTP RELAY 587
# telnet ns0 587
Trying 213.186.33.20...
Connected to ns0.ovh.net.
Escape character is '^]'.
220 ns0.ovh.net ssl0.ovh.net. You connect to mail172.ha.ovh.net ESMTP
EHLO ping.ovh.net
250-ns0.ovh.net ssl0.ovh.net. You connect to mail172.ha.ovh.net
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-PIPELINING
250-STARTTLS
250-8BITMIME
250 SIZE 15000000
QUIT
221 ns0.ovh.net ssl0.ovh.net. You connect to mail172.ha.ovh.net
Connection closed by foreign host.
fixé