Communauté Orange
Recherchez dans la Communauté

Vous avez une question ?

Interrogez la communauté

internet & fixe mon mail Orange
Voir tous les sujets internet & fixe

Envoi smtp depuis Linux/pi (ssmtp) impossible depuis le 05/09/2023

matrixbx
fan
fan
Posté le
‎14-09-2023 8h07
1 076  

Re: Envoi smtp depuis Linux/pi (ssmtp) impossible depuis le 05/09/2023

Re @ChrMr 

je me doutais que le mode verbeux ne donnerait pas grand chose, le problème étant la négo SSL/TLS, donc avant l'échange smtp.

En forçant TLS1_2 avec openssl ( openssl s_client --tls1_2 smtp.orange.fr:465), ça connecte bien ("New, TLSv1.2, Cipher is ECDHE-RSA-AES128-GCM-SHA256", "Verify return code: 0 (ok)" ).

J'ai déjà eu des mails "acceptés" mais jamais délivrés, le même mail envoyé à un autre serveur smtp était explicitement rejeté car détecté en spam. Solutionné en mettant le texte du mail en pièce jointe et non dans le corps du mail, depuis ça passe.

Le souci semble bien être à chercher dans la config ssl de ce raspi (/etc/ssl/openssl.cnf), à comparer avec l'autre qui fonctionne.

Bons diffs

Politesse et courtoisie ne sont pas en option (en cas d'abus graves et répétés, \o< >/dev/null).
Suggérer, expliquer, démontrer ne suffit parfois pas. On apprend de ses erreurs, enfin la plupart. "I'm All Out of Gum."
Voir le sujet
Répondre
0 Top
Accéder à la solution
ChrMr
contributeur occasionnel
Posté le
‎15-09-2023 17h13
2 425  

Re: Envoi smtp depuis Linux/pi (ssmtp) impossible depuis le 05/09/2023

Les configurations d'openssl ne diffèrent quasiment pas entre mes deux machines, et pourtant sur mon premier raspberry il persiste à utiliser tls 1.2

J'ai donc migré mon script sur mon autre raspberry qui a une configuration un peu plus récente et qui utilise tls 1.3 par défaut.

(1er raspberry: OS: Raspbian Wheezy, openssl 1.0.1e)

(2e raspberry: OS: Raspbian Buster, openssl 1.1.1d)

 

Il faut donc en déduire qu'Orange a cessé d'accepter tls 1.2 le 05/09/2023, qu'il faut donc utiliser tls 1.3 et que pour cela il faut au moins une version 1.1.1 d'openssl

 

Voir le sujet
Répondre
0 Top
Accéder à la solution
matrixbx
fan
fan
Posté le
‎15-09-2023 19h26
Modifié le
15/09/2023
1 013  

Re: Envoi smtp depuis Linux/pi (ssmtp) impossible depuis le 05/09/2023

Bonsoir @ChrMr 

la conclusion est erronée, au moins en partie, la connexion s’établit en TLS1_2 sans souci.

$ openssl s_client -tls1_2 -brief smtp.orange.fr:465
CONNECTION ESTABLISHED
Protocol version: TLSv1.2
Ciphersuite: ECDHE-RSA-AES128-GCM-SHA256
Peer certificate: C = FR, ST = ILE DE FRANCE, L = ISSY LES MOULINEAUX, O = Orange SA, CN = smtp.premium.orange.fr
Hash used: SHA256
Signature type: RSA
Verification: OK
Supported Elliptic Curve Point Formats: uncompressed
Server Temp Key: ECDH, P-256, 256 bits
220 opmta1mtoxxnd1 smtp.orange.fr ESMTP server ready
EHLO localhost
250-opmta1mtoxxnd1 hello [xxx.xxx.xxx.xxx], pleased to meet you
250-HELP
250-AUTH LOGIN PLAIN
250-SIZE 46000000
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250 OK
QUIT
DONE
$ openssl version
OpenSSL 1.1.1n 15 Mar 2022
$

 

Bonne soirée.

Politesse et courtoisie ne sont pas en option (en cas d'abus graves et répétés, \o< >/dev/null).
Suggérer, expliquer, démontrer ne suffit parfois pas. On apprend de ses erreurs, enfin la plupart. "I'm All Out of Gum."
Voir le sujet
Répondre
0 Top
Accéder à la solution
ChrMr
contributeur occasionnel
Posté le
‎15-09-2023 20h37
996  

Re: Envoi smtp depuis Linux/pi (ssmtp) impossible depuis le 05/09/2023

Peut-être, mais en tout cas il y a eu un changement du côté du service Orange, et openssl 1.0.1 n'est plus capable de dialoguer avec le service. Il faut faire un upgrade vers la version 1.1.1

 

Bonne soirée

 

 

Voir le sujet
Répondre
0 Top
Accéder à la solution
matrixbx
fan
fan
Posté le
‎15-09-2023 22h58
966  

Re: Envoi smtp depuis Linux/pi (ssmtp) impossible depuis le 05/09/2023

Re bonsoir @ChrMr 

Je n'ai pas retrouvé plus ancien à ma disposition, c'est déjà pas récent, récent et ça fonctionne encore.

user@debian:~$ grep PRETTY /etc/os-release 
PRETTY_NAME="Debian GNU/Linux 9 (stretch)"
user@debian:~$ openssl version
OpenSSL 1.1.0f  25 May 2017
user@debian:~$ openssl s_client -brief -tls1_2 -connect smtp.orange.fr:465
CONNECTION ESTABLISHED
Protocol version: TLSv1.2
Ciphersuite: ECDHE-RSA-AES128-GCM-SHA256
Peer certificate: C = FR, ST = ILE DE FRANCE, L = ISSY LES MOULINEAUX, O = Orange SA, CN = smtp.premium.orange.fr
Hash used: SHA256
Verification: OK
Supported Elliptic Curve Point Formats: uncompressed
Server Temp Key: ECDH, P-256, 256 bits
220 opmta1mtoxxnd1 smtp.orange.fr ESMTP server ready
EHLO Debian_9
250-opmta1mtoxxnd1 hello [xxx.xxx.xxx.xxx], pleased to meet you
250-HELP
250-AUTH LOGIN PLAIN
250-SIZE 46000000
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250 OK
QUIT
DONE
user@debian:~$

Bonne nuit.

Politesse et courtoisie ne sont pas en option (en cas d'abus graves et répétés, \o< >/dev/null).
Suggérer, expliquer, démontrer ne suffit parfois pas. On apprend de ses erreurs, enfin la plupart. "I'm All Out of Gum."
Voir le sujet
Répondre
0 Top
Accéder à la solution
matrixbx
fan
fan
Posté le
‎16-09-2023 8h39
940  

Re: Envoi smtp depuis Linux/pi (ssmtp) impossible depuis le 05/09/2023

Bonjour,

trouvé un poil plus ancien, marche quand même.

ubuntu@ubuntu:~$ openssl s_client -tls1_2 -connect smtp.orange.fr:465
CONNECTED(00000003)
depth=1 C = US, O = DigiCert Inc, CN = DigiCert Global G2 TLS RSA SHA256 2020 CA1
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/C=FR/ST=ILE DE FRANCE/L=ISSY LES MOULINEAUX/O=Orange SA/CN=smtp.premium.orange.fr
   i:/C=US/O=DigiCert Inc/CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
 1 s:/C=US/O=DigiCert Inc/CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root G2
---
Server certificate
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
subject=/C=FR/ST=ILE DE FRANCE/L=ISSY LES MOULINEAUX/O=Orange SA/CN=smtp.premium.orange.fr
issuer=/C=US/O=DigiCert Inc/CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
---
No client certificate CA names sent
---
SSL handshake has read 3706 bytes and written 421 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES128-GCM-SHA256
    Session-ID: F8F7EB40AD1ABF04A07F9F22D523264EE657EED24A266797D0D7A7FC2433F6DD
    Session-ID-ctx: 
    Master-Key: EAF0434B6A1365BC104D0697BB0A522ACEF5CA827E7A7B34283788D9AE6AFA7ED1100645C7ADE4BB52A2F6C2AA66935C
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1694845456
    Timeout   : 7200 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---
220 opmta1mtoxxnd1 smtp.orange.fr ESMTP server ready
EHLO Ubuntu
250-opmta1mtoxxnd1 hello [xxx.xxx.xx.xxx], pleased to meet you
250-HELP
250-AUTH LOGIN PLAIN
250-SIZE 46000000
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250 OK
QUIT
DONE 
ubuntu@ubuntu:~$ awk -F"=" /VERSION=/'{print $2}' /etc/os-release 
"14.04.6 LTS, Trusty Tahr"
ubuntu@ubuntu:~$ openssl version 
OpenSSL 1.0.1f 6 Jan 2014
ubuntu@ubuntu:~$
ubuntu@ubuntu:~$ openssl s_client -tls1_1 -quiet -connect smtp.orange.fr:465
139741652629152:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1278:SSL alert number 40
139741652629152:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:599:
ubuntu@ubuntu:~$

De telles vieilleries connectées au Net ne me semble pas être une idée particulièrement prudente.

Mettre à jour me semble plus que nécessaire et bienvenu.

Bonne journée.

Politesse et courtoisie ne sont pas en option (en cas d'abus graves et répétés, \o< >/dev/null).
Suggérer, expliquer, démontrer ne suffit parfois pas. On apprend de ses erreurs, enfin la plupart. "I'm All Out of Gum."
Voir le sujet
Répondre
0 Top
Accéder à la solution
matrixbx
fan
fan
Posté le
‎17-09-2023 7h42
906  

Re: Envoi smtp depuis Linux/pi (ssmtp) impossible depuis le 05/09/2023

Re,

trouvé plus obsolète (Ubuntu 12.04).

ubuntu@ubuntu:~$ openssl version
OpenSSL 1.0.1 14 Mar 2012
ubuntu@ubuntu:~$ openssl s_client -tls1_2 -connect smtp.orange.fr:465
CONNECTED(00000003)
...
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 32E83402862CA8E61AB1823AEC75516F02FA6C548C967CB0AADDAA7EBE05A07F
    Session-ID-ctx: 
    Master-Key: 27ABFE0EAE08257C92FBFE87D0CA6F2278C7194B50B21F378F09541B0A76B4D32A8B00EB9B58390954A4CCB5317F94B5
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1694928403
    Timeout   : 7200 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---
220 opmta1mtoxxnd1 smtp.orange.fr ESMTP server ready
EHLO Ubuntu_12.04
250-opmta1mtoxxnd1 hello [xxx.xxx.xxx.xxx], pleased to meet you
250-HELP
250-AUTH LOGIN PLAIN
250-SIZE 46000000
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250 OK
QUIT
DONE
ubuntu@ubuntu:~$
Politesse et courtoisie ne sont pas en option (en cas d'abus graves et répétés, \o< >/dev/null).
Suggérer, expliquer, démontrer ne suffit parfois pas. On apprend de ses erreurs, enfin la plupart. "I'm All Out of Gum."
Voir le sujet
Répondre
0 Top
Accéder à la solution

Vous avez une question ?

Interrogez la communauté

Déjà 796114 membres inscrits 🧡

5939 personnes actuellement en ligne

Tous les membres en ligne