Ir para o conteúdo
Menu principal
Menu principal
mover para a barra lateral
Esconder
Navegação
Página principal
Mudanças recentes
Página aleatória
Ajuda do MediaWiki
RJGSWiki
Pesquisa
Pesquisar
Aparência
Crie uma conta
Entrar
Ferramentas pessoais
Crie uma conta
Entrar
Páginas para editores conectados
saiba mais
Contribuições
Discussão
Editando
Zimbra
(seção)
Página
Discussão
português do Brasil
Ler
Editar
Ver histórico
Ferramentas
Ferramentas
mover para a barra lateral
Esconder
Ações
Ler
Editar
Ver histórico
Geral
Páginas afluentes
Mudanças relacionadas
Páginas especiais
Informações da página
Aparência
mover para a barra lateral
Esconder
Aviso:
Você não está conectado. Seu endereço IP será visível publicamente se você fizer alguma edição. Se você
fizer login
ou
criar uma conta
, suas edições serão atribuídas ao seu nome de usuário, juntamente com outros benefícios.
Verificação contra spam.
Não
preencha isto!
== Problemas com erro TLS handshake == Problemas com erro TLS handshake failure no Zimbra/Postfix ==== Descrição do problema ==== Em alguns casos, ao enviar e-mails para provedores que exigem protocolos modernos (ex.: Titan, O365, Gmail), o Zimbra/Postfix pode registrar erros como: Cannot start TLS: handshake failure TLS library problem: error:0A000066:SSL routines::bad dh value:ssl/statem/statem_clnt.c Isso ocorre porque as configurações padrão do Zimbra ainda oferecem ciphers export/medium e permitem TLS 1.0/1.1, que são rejeitados pelos servidores modernos. ==== Sintomas ==== Mensagens ficam em <code>status=deferred</code> no log (/var/log/zimbra.log): dsn=4.7.5, status=deferred (Cannot start TLS: handshake failure) Conexão TLS não é estabelecida durante o envio. Erros bad dh value indicam uso de parâmetros DH fracos ou incompatíveis. ==== Diagnóstico ==== Listar parâmetros atuais do MTA: zmprov gs `zmhostname` | egrep zimbraMtaSmtpTls Exemplo de configuração problemática (default): zimbraMtaSmtpTlsCiphers: export zimbraMtaSmtpTlsLoglevel: 0 zimbraMtaSmtpTlsMandatoryCiphers: medium zimbraMtaSmtpTlsMandatoryProtocols: !SSLv2, !SSLv3 zimbraMtaSmtpTlsProtocols: !SSLv2, !SSLv3 zimbraMtaSmtpTlsSecurityLevel: may Configuração anterior (insegura) zmprov ms `zmhostname` zimbraMtaSmtpTlsCiphers export zmprov ms `zmhostname` zimbraMtaSmtpTlsMandatoryCiphers medium zmprov ms `zmhostname` zimbraMtaSmtpTlsProtocols '!SSLv2, !SSLv3' zmprov ms `zmhostname` zimbraMtaSmtpTlsMandatoryProtocols '!SSLv2, !SSLv3' zmprov ms `zmhostname` zimbraMtaSmtpTlsSecurityLevel may Problema: ainda permitia TLS 1.0/1.1 e cifras fracas. Nova configuração (segura e compatível) zmprov ms `zmhostname` zimbraMtaSmtpTlsCiphers high zmprov ms `zmhostname` zimbraMtaSmtpTlsMandatoryCiphers high zmprov ms `zmhostname` zimbraMtaSmtpTlsProtocols "TLSv1.2 TLSv1.3" zmprov ms `zmhostname` zimbraMtaSmtpTlsMandatoryProtocols "TLSv1.2 TLSv1.3" zmprov ms `zmhostname` zimbraMtaSmtpTlsSecurityLevel may Considerações * may: garante que, caso o destino não suporte TLS moderno, o e-mail ainda será entregue sem criptografia (evita perda de entrega). * Ciphers high: restringe a cifras fortes (AES-GCM, CHACHA20, etc.), compatíveis com provedores modernos. * Protocolos TLSv1.2 TLSv1.3: elimina versões antigas e inseguras (TLS 1.0/1.1). * Essa configuração é compatível com Titan, Gmail, O365, Yahoo, etc. ==== Verificação ==== Após aplicar combinar com o cliente um momento para reiniciar: zmcontrol restart Testar envio e observar no log (/var/log/zimbra.log) deverá aparecer essa sentença: Trusted TLS connection established to mx2.titan.email[...]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (2048-bit DH)
Resumo da edição:
Por favor, note que todas as suas contribuições em RJGSWiki podem ser editadas, alteradas ou removidas por outros contribuidores. Se você não deseja que o seu texto seja inexoravelmente editado, não o envie.
Você está, ao mesmo tempo, a garantir-nos que isto é algo escrito por si, ou algo copiado de alguma fonte de textos em domínio público ou similarmente de teor livre (veja
RJGSWiki:Direitos de autor
para detalhes).
NÃO ENVIE TRABALHO PROTEGIDO POR DIREITOS DE AUTOR SEM A DEVIDA PERMISSÃO!
Cancelar
Ajuda de edição
(abre numa nova janela)
