Se si vuole lavorare con la posta elettronica su canali sicuri, si può abilitare in MDaemon il supporto ai protocolli sicuri SSL,TLS e STARTTLS nel menu Sicurezza > Impostazioni di sicurezza > SSL e TLS > MDaemon:
Dopo questo, può succedere che l'invio di messaggi ad alcuni legittimi destinatari fallisca a causa di errori nella fase di negoziazione della sessione SSL.
In questi casi, nel log SMTP(uscita) di MDaemon si trovano errori di questo tipo:
Waiting for protocol to start…
Fri 2014-06-20 15:48:09: <– 220 xxxxxxx.de (mxeue006) xxxxxxx ESMTP Service ready
Fri 2014-06-20 15:48:09: –> EHLO yyyyyyy.com
Fri 2014-06-20 15:48:09: <– 250-xxxxxxx.de Hello yyyyyyy.com [1.2.3.4]
Fri 2014-06-20 15:48:09: <– 250-SIZE 157286400
Fri 2014-06-20 15:48:09: <– 250 STARTTLS
Fri 2014-06-20 15:48:09: –> STARTTLS
Fri 2014-06-20 15:48:10: <– 220 OK
Fri 2014-06-20 15:48:10: SSL negotiation failed, error code 0x80090326
Wed 2015-03-25 11:48:47.328: [271721] Waiting for protocol to start…
Wed 2015-03-25 11:48:47.352: [271721] <– 220 mail.dominio.it ESMTP Dominio; Wed, 25 Mar 2015 11:48:44 +0100
Wed 2015-03-25 11:48:47.353: [271721] –> EHLO mail.achab.it
Wed 2015-03-25 11:48:47.380: [271721] <– 250-mail.dominio.it Hello mail.achab.it [95.110.166.69], pleased to meet you.
Wed 2015-03-25 11:48:47.380: [271721] <– 250-ENHANCEDSTATUSCODES
Wed 2015-03-25 11:48:47.380: [271721] <– 250-SIZE
Wed 2015-03-25 11:48:47.380: [271721] <– 250-EXPN
Wed 2015-03-25 11:48:47.380: [271721] <– 250-ETRN
Wed 2015-03-25 11:48:47.380: [271721] <– 250-ATRN
Wed 2015-03-25 11:48:47.380: [271721] <– 250-DSN
Wed 2015-03-25 11:48:47.380: [271721] <– 250-CHECKPOINT
Wed 2015-03-25 11:48:47.380: [271721] <– 250-8BITMIME
Wed 2015-03-25 11:48:47.380: [271721] <– 250-AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5 GSSAPI
Wed 2015-03-25 11:48:47.380: [271721] <– 250-STARTTLS
Wed 2015-03-25 11:48:47.381: [271721] <– 250 HELP
Wed 2015-03-25 11:48:47.381: [271721] –> STARTTLS
Wed 2015-03-25 11:48:47.407: [271721] <– 220 2.0.0 Ready to start TLS
Wed 2015-03-25 11:48:47.438: [271721] SSL negotiation failed, error code 0x80090308
Possibili cause di questi errori possono essere:
-
Sistemi operativi obsoleti (es. Windows 2003) o non adeguatamente patchati.
-
Versioni dei protocolli e algoritmi di codifica errati o non allineati tra i due lati della comunicazione.
Vediamo alcuni esempi emersi nel recente passato:
Esempio 1
L'errore 0x80090326 del primo tracciato SMTP:
Waiting for protocol to start…
Fri 2014-06-20 15:48:09: <– 220 xxxxxxx.de (mxeue006) xxxxxxx ESMTP Service ready
Fri 2014-06-20 15:48:09: –> EHLO yyyyyyy.com
Fri 2014-06-20 15:48:09: <– 250-xxxxxxx.de Hello yyyyyyy.com [1.2.3.4]
Fri 2014-06-20 15:48:09: <– 250-SIZE 157286400
Fri 2014-06-20 15:48:09: <– 250 STARTTLS
Fri 2014-06-20 15:48:09: –> STARTTLS
Fri 2014-06-20 15:48:10: <– 220 OK
Fri 2014-06-20 15:48:10: SSL negotiation failed, error code 0x80090326
si era verificato su una macchina con Window 2003. Il cliente affermò: "…ho applicato una patch di Microsoft (il server ancora per poco è un win2003) come da consiglio trovato sul forum alt-N: http://lists.altn.com/WebX/.598605d6. Sembra che successivamente le mail siano state recapitate correttamente."
Esempio 2
L'errore 0x80090308 del secondo tracciato SMTP si è verificato su diversi MDaemon, compreso quello di Achab, anche su sistemi operativi recenti, dopo l'aggiornamento di MDaemon alle versioni 14.5.x
(
nella 14.5.0 è stata introdotta questa modifica:
[12535] MDaemon ora supporta TLS 1.1 e 1.2. Richiede Windows 7 / Server 2008 R2 o versione successiva
)
In questo caso l'host di destinazione richiedeva il TLS 1.0.
Esempio 3
SSL negotiation failed, error code 0x80090331
In questo caso ll problema è dell'host di destinazione ed è descritto qui:
http://blogs.msdn.com/b/ieinternals/archive/2009/12/08/aes-is-not-a-valid-cipher-for-sslv3.aspx
MDaemon indica al server remoto che esso supporta SSL 3.0 e TLS 1.0 e poi invia un elenco di sistemi di crittografia che supporta. Il server remoto risponde "usiamo SSL 3.0 con AES". Tuttavia, AES non è un algoritmo valido con SSL 3.0 – è valido solo con TLS. Di conseguenza, SChannel non lo accetta e fallisce con l'errore "0x80090331". Questo è un bug nell'implementazione SSL del server remoto. Sembra essere un bug comune, che affligge diversi server di posta.
Possibili soluzioni
1. Aggiornare il sistema operativo in uso e/o patcharlo completamente.
2. Disabilitare l'uso di SSL (sconsigliato).
3. Abilitare l'uso delle versioni di protocollo richieste dalla controparte.
Nell'esempio del TLS 1.0, se ne può abilitare l'utilizzo (sconsigliato in quanto bacato) modificando il registro di Windows:
-
Localizzare la chiave: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocols
-
Creare la chiave "TLS 1.0".
-
In "TLS 1.0" creare la chiave "Client".
-
In "Client" creare un nuovo valore DWORD chiamato "Enabled".
-
Impostare il valore di "Enabled" a "0" (zero).
-
Salvare e chiudere il registro.
-
Riavviare il server.
4. Inserire l'IP o il dominio (es. mail.dominio.it) del destinatario nella whitelist dello STARTTLS:
5. Configurare MDaemon affinché passi ad una sessione SMTP non SSL qualora incontri problemi di questo tipo (
richiede MDaemon 15 o superiore):
