STARTTLS et Outlook - LinuxFr.org

Bonjour,
Depuis l'arrivée de Win8, Outlook2013 refuse de se connecter a mon serveur Postfix.
J'ai patiement cherché mais en vain une solution qui suppose de ne pas faire bidouiller mes utilisateurs.
Aujourd'hui je constate que Outlook2016 ( pour mac ) a le même problème.

De mon souvenir, le cipher était en cause sous Win8.

Je précise que j'utilise un certificat issue de CaCert.

Si quelqu'un peu me venir en aide.

Voici une partie de mon postconf

smtp_use_tls = no
smtp_xforward_timeout = 300s
smtpd_authorized_verp_clients = $authorized_verp_clients
smtpd_authorized_xclient_hosts =
smtpd_authorized_xforward_hosts =
smtpd_client_connection_count_limit = 50
smtpd_client_connection_rate_limit = 0
smtpd_client_event_limit_exceptions =
    ${smtpd_client_connection_limit_exceptions:$mynetworks}
smtpd_client_message_rate_limit = 0
smtpd_client_new_tls_session_rate_limit = 0
smtpd_client_port_logging = no
smtpd_client_recipient_rate_limit = 0
smtpd_client_restrictions =
smtpd_command_filter =
smtpd_data_restrictions = reject_unauth_pipelining, permit
smtpd_delay_open_until_valid_rcpt = yes
smtpd_delay_reject = yes
smtpd_discard_ehlo_keyword_address_maps =
smtpd_discard_ehlo_keywords =
smtpd_end_of_data_restrictions =
smtpd_enforce_tls = no
smtpd_error_sleep_time = 1s
smtpd_etrn_restrictions =
smtpd_expansion_filter =
    \t\40!"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`abcdefghijklmnopqrstuvwxyz{|}~
smtpd_forbidden_commands = CONNECT GET POST
smtpd_hard_error_limit = 100
smtpd_helo_required = yes
smtpd_helo_restrictions = reject_invalid_hostname, permit_sasl_authenticated,
    reject_rbl_client zen.spamhaus.org, reject_rbl_client opm.blitzed.org,
    reject_rbl_client bl.spamcop.net, reject_rbl_client all.bl.blocklist.de,
    permit
smtpd_history_flush_threshold = 100
smtpd_junk_command_limit = ${stress?1}${stress:100}
smtpd_milters =
smtpd_noop_commands =
smtpd_null_access_lookup_key = <>
smtpd_peername_lookup = yes
smtpd_per_record_deadline = ${stress?yes}${stress:no}
smtpd_policy_service_max_idle = 300s
smtpd_policy_service_max_ttl = 1000s
smtpd_policy_service_timeout = 100s
smtpd_proxy_ehlo = $myhostname
smtpd_proxy_filter =
smtpd_proxy_options =
smtpd_proxy_timeout = 100s
smtpd_recipient_limit = 1000
smtpd_recipient_overshoot_limit = 1000
smtpd_recipient_restrictions = permit_sasl_authenticated,
    reject_unauth_destination, reject_rbl_client zen.spamhaus.org,
    reject_rbl_client opm.blitzed.org, reject_rbl_client bl.spamcop.net,
    reject_rbl_client all.bl.blocklist.de, reject_unknown_sender_domain,
    reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient,
    permit
smtpd_reject_footer =
smtpd_reject_unlisted_recipient = yes
smtpd_reject_unlisted_sender = no
smtpd_restriction_classes =
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_exceptions_networks =
smtpd_sasl_local_domain =
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
smtpd_sasl_type = dovecot
smtpd_sender_login_maps =
smtpd_sender_restrictions = check_sender_access
    regexp:/etc/postfix/tag_as_originating.re permit_sasl_authenticated,
    reject_invalid_hostname, reject_unknown_sender_domain,
    reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_rbl_client
    zen.spamhaus.org, reject_rbl_client opm.blitzed.org, reject_rbl_client
    bl.spamcop.net, reject_rbl_client all.bl.blocklist.de, check_sender_access
    regexp:/etc/postfix/tag_as_foreign.re permit
smtpd_service_name = smtpd
smtpd_soft_error_limit = 15
smtpd_starttls_timeout = ${stress?10}${stress:300}s
smtpd_timeout = ${stress?10}${stress:300}s
smtpd_tls_CAfile = /etc/postfix/cacert.pem
smtpd_tls_CApath =
smtpd_tls_always_issue_session_ids = yes
smtpd_tls_ask_ccert = no
smtpd_tls_auth_only = no
smtpd_tls_ccert_verifydepth = 9
smtpd_tls_cert_file = /etc/postfix/jiremek-cert.pem
smtpd_tls_ciphers = export
smtpd_tls_dcert_file =
smtpd_tls_dh1024_param_file =
smtpd_tls_dh512_param_file =
smtpd_tls_dkey_file = $smtpd_tls_dcert_file
smtpd_tls_eccert_file =
smtpd_tls_eckey_file = $smtpd_tls_eccert_file
smtpd_tls_eecdh_grade = strong
smtpd_tls_exclude_ciphers =
smtpd_tls_fingerprint_digest = md5
smtpd_tls_key_file = /etc/postfix/jiremek-key.pem
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers =
smtpd_tls_mandatory_protocols = !SSLv2
smtpd_tls_protocols =
smtpd_tls_received_header = yes
smtpd_tls_req_ccert = no
smtpd_tls_security_level = may
smtpd_tls_session_cache_database =
    btree:${data_directory}/smtpd_tls_session_cache
smtpd_tls_session_cache_timeout = 1800s
smtpd_tls_wrappermode = no
smtpd_use_tls = yes
soft_bounce = no
stale_lock_time = 500s
stress =
strict_7bit_headers = no
strict_8bitmime = no
strict_8bitmime_body = no
strict_mailbox_ownership = yes
strict_mime_encoding_domain = no
strict_rfc821_envelopes = yes
sun_mailtool_compatibility = no
tcp_windowsize = 0
tls_append_default_CA = no
tls_daemon_random_bytes = 32
tls_disable_workarounds =
tls_eecdh_strong_curve = prime256v1
tls_eecdh_ultra_curve = secp384r1
tls_export_cipherlist = aNULL:-aNULL:ALL:+RC4:@STRENGTH
tls_high_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:!MEDIUM:+RC4:@STRENGTH
tls_legacy_public_key_fingerprints = no
tls_low_cipherlist = aNULL:-aNULL:ALL:!EXPORT:+RC4:@STRENGTH
tls_medium_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:+RC4:@STRENGTH
tls_null_cipherlist = eNULL:!aNULL
tls_preempt_cipherlist = no
tls_random_bytes = 32
tls_random_exchange_name = ${data_directory}/prng_exch
tls_random_prng_update_period = 3600s
tls_random_reseed_period = 3600s
tls_random_source = dev:/dev/urandom
tlsproxy_enforce_tls = $smtpd_enforce_tls
tlsproxy_service_name = tlsproxy
tlsproxy_tls_CAfile = $smtpd_tls_CAfile
tlsproxy_tls_CApath = $smtpd_tls_CApath
tlsproxy_tls_always_issue_session_ids = $smtpd_tls_always_issue_session_ids
tlsproxy_tls_ask_ccert = $smtpd_tls_ask_ccert
tlsproxy_tls_ccert_verifydepth = $smtpd_tls_ccert_verifydepth
tlsproxy_tls_cert_file = $smtpd_tls_cert_file
tlsproxy_tls_ciphers = $smtpd_tls_ciphers
tlsproxy_tls_dcert_file = $smtpd_tls_dcert_file
tlsproxy_tls_dh1024_param_file = $smtpd_tls_dh1024_param_file
tlsproxy_tls_dh512_param_file = $smtpd_tls_dh512_param_file
tlsproxy_tls_dkey_file = $smtpd_tls_dkey_file
tlsproxy_tls_eccert_file = $smtpd_tls_eccert_file
tlsproxy_tls_eckey_file = $smtpd_tls_eckey_file
tlsproxy_tls_eecdh_grade = $smtpd_tls_eecdh_grade
tlsproxy_tls_exclude_ciphers = $smtpd_tls_exclude_ciphers
tlsproxy_tls_fingerprint_digest = $smtpd_tls_fingerprint_digest
tlsproxy_tls_key_file = $smtpd_tls_key_file
tlsproxy_tls_loglevel = $smtpd_tls_loglevel
tlsproxy_tls_mandatory_ciphers = $smtpd_tls_mandatory_ciphers
tlsproxy_tls_mandatory_exclude_ciphers = $smtpd_tls_mandatory_exclude_ciphers
tlsproxy_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols
tlsproxy_tls_protocols = $smtpd_tls_protocols
tlsproxy_tls_req_ccert = $smtpd_tls_req_ccert
tlsproxy_tls_security_level = $smtpd_tls_security_level
tlsproxy_tls_session_cache_timeout = $smtpd_tls_session_cache_timeout
tlsproxy_use_tls = $smtpd_use_tls
tlsproxy_watchdog_timeout = 10s

# il faut arrêter d'utiliser outlook

Posté par err404 (site web personnel) le 29 août 2015 à 14:39. Évalué à -1.

ah bien sur, c'est pratique pour l'utiliser avec active directory. mais pour le reste c'est seulement de la grosse merde.
# Je sais pas

Posté par Marotte ⛧ le 29 août 2015 à 16:45. Évalué à 2.

Tu as un message d’erreur dans Outlook ?
# Le serveur ne prend pas en charge les connexions sécurisée

Posté par jiremek le 29 août 2015 à 22:09. Évalué à 0.

Arrêter Outlook est une bonne idée, mais mes utilisateurs y ont leurs repères.

Outlook se contente d'un laconique: "Le serveur ne prend pas en charge les connexions sécurisées".

Pourtant cela fonctionne très bien sous Thunderbird et Mac Mail
- [^] # Re: Le serveur ne prend pas en charge les connexions sécurisée
  
  Posté par claudex le 31 août 2015 à 10:18. Évalué à 3.
  
  Tu peux faire un tcpdump sur le serveur pour voir la différence de comportement entre un client Thunderbird et Outlook. Tu verra quelles options sont demandées avant le début de la connexion chiffrée. Cela peut indiquer où est le problème.
  
  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
  - [^] # Re: Le serveur ne prend pas en charge les connexions sécurisée
    
    Posté par jiremek le 31 août 2015 à 22:05. Évalué à 0.
    
    En regardant le tcpdump, je constate que dans les 2 cas j'ai bien un STARTTLS émis.
    
    Impossible d'en savoir plus en l'état.
    Côté log serveur la connexion est perdu après le STARTTLS
    
    lost connection after STARTTLS