Thunderbird 136 vs moj smtp server

Neviem, co zase vymysleli inzinieri v TB, ale dnes mi hlasilo zopar ludi, ze nevedia odosielat maily z mojho stareho mailoveho servera.
Zistil som, ze TB laskavo akceptoval moj imap server, ale uz nie smtp a nechce sa s nimi ano za toho oneho dohonut na vymene certifikatov.
V minulosti stacilo znizit tls ver na 1 a povolit deprecated tls, ale tentoraz tam pridali asi este nieco ine lebo to nejde.
Na servri vidim nieco taketo:

Mar 11 10:30:53 mail postfix/smtpd[3610]: warning: TLS library problem: 3610:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1315:SSL alert number 42:
Mar 11 10:54:52 mail postfix/smtpd[3730]: warning: TLS library problem: 3730:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1315:SSL alert number 42:
Mar 11 10:55:23 mail postfix/smtpd[3730]: warning: TLS library problem: 3730:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1315:SSL alert number 42:
Mar 11 10:57:36 mail postfix/smtpd[3767]: warning: TLS library problem: 3767:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1315:SSL alert number 42:
Mar 11 11:00:24 mail postfix/smtpd[3767]: warning: TLS library problem: 3767:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1315:SSL alert number 42:
Mar 11 11:16:10 mail postfix/smtpd[3968]: warning: TLS library problem: 3968:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1315:SSL alert number 42:
Mar 11 11:17:28 mail postfix/smtpd[3968]: warning: TLS library problem: 3968:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1315:SSL alert number 42:
Mar 11 11:18:25 mail postfix/smtpd[3968]: warning: TLS library problem: 3968:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1315:SSL alert number 42:
Mar 11 11:19:54 mail postfix/smtpd[3968]: warning: TLS library problem: 3968:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1315:SSL alert number 42:

Nechapem, co zase povypinali, akoze ten server je stary to uznavam, ale ma tam TLS 1.2, takze by to moholo este chvilku chodit.
OpenSSL 1.0.1t 3 May 2016
SSLv3
TLSv1.2
Rady upgraduj server moc pocut nechcem, ja sa k tomu raz dokopem, alebo ho celkom zrusim.

Thunderbird 128.8.0 mi doma funguje, ked som instaloval u zakaznika, ktory mal 136 predtym siel tiez.

Předmět	Autor	Datum
Jen tip. "bad certificate" To může znamenat to, že certifikát je špatně sestavený, opravdu je v něm… kacikac 11.03.2025 18:18	kacikac	11.03.2025 18:18
Nespletl sis verzi Thunderbird x Firefox? TB je poslední verze 128. IQ37 11.03.2025 18:30	IQ37	11.03.2025 18:30
4. března vyšla verze TB 136.0. host 11.03.2025 18:37	host	11.03.2025 18:37
Pravda. Já jedu na portable verzi: https://sourceforge.net/projects/portableapps/files/Mozilla%20Thu… IQ37 11.03.2025 20:15	IQ37	11.03.2025 20:15
Podľa toho čo popisuješ v certfikátoch alebo na serveri asi problém nebude, keďže Tebe to doma fungu… pme 11.03.2025 19:02	pme	11.03.2025 19:02
To by tam byla jiná hláška než "bad certificate", ne? kacikac 11.03.2025 19:54	kacikac	11.03.2025 19:54
Nie, nejde tu o "zlý certifikát", ale o to, že odosielateľ MTA nemohol overiť certifikát - server po… pme 11.03.2025 20:08	pme	11.03.2025 20:08
Tys psal, že to může být nastavením STARTTLS vs TLS. Já ti jen píšu, že kdyby byl problém v tomto na… kacikac 11.03.2025 20:28	kacikac	11.03.2025 20:28
To vsetko je ok, TB 136 si vobec nestiahne certifikat a neoznaci ho ako nedoveryhodny, s tym, ze moz… fleg 11.03.2025 22:26	fleg	11.03.2025 22:26
Někomu pomohlo "vystoupit a nastoupit". The issue is at least at TB side, as you said. I’ve changed… host 11.03.2025 19:30	host	11.03.2025 19:30
Tady to by podle mě vypadalo na to, že by tam mohl být nějaký požadavek na minimální konfiguraci cer… kacikac 11.03.2025 19:49	kacikac	11.03.2025 19:49
potkal jsem něco podobného u známého co má mail na Tiscali, takže to by mohlo být ono. Ještě mě nap… touchwood 11.03.2025 20:12	touchwood	11.03.2025 20:12
Nie, to som kontroloval, navyse s tym by mali problemy aj starsie verzie, pripadne moj TheBat!. 11… fleg 11.03.2025 21:29	fleg	11.03.2025 21:29
Proč self-signed??? Si udělej CA, tím podepiš mailový certifikát a CA pak přidej do Thunderbirdu jak… kacikac 11.03.2025 21:40	kacikac	11.03.2025 21:40
Ja mam smtp bez sasl/ssl zakazane, cize to by moc nedavalo zmysel, ale myslim, ze taketo nieco som s… fleg 11.03.2025 21:38	fleg	11.03.2025 21:38
Podle mě to nízkou verzí TLS nebude, 1.2 by měla stačit a byla by tam jiná hláška než jakou tam máš. kacikac 11.03.2025 21:45	kacikac	11.03.2025 21:45
Pol roka stary TB s tym problem nema, iba tento novy, takze nieco sa strane TB muselo zmenit. fleg 11.03.2025 21:53	fleg	11.03.2025 21:53
To je možné, že se změnilo :-) A? Je ta doména v Thunderbirdu ve výjimkách? Pokud ano, smazat. Třeba… kacikac 11.03.2025 22:37	kacikac	11.03.2025 22:37
Vidim to na starou sadu cifer... Kderou tb odrizl Zkus ručně checknout , nahradit smtp.mail.host op… tampus 11.03.2025 22:20	tampus	11.03.2025 22:20
"Vidim to na starou sadu cifer" Není to starou sadou cifer :-) Proč to nezkusíš sám? :-) Však domén… kacikac 11.03.2025 22:33	kacikac	11.03.2025 22:33
NetuušIl jsrm že obě 2 kritické fakty budou schované v dalsí odpovedi jen tak naokraj poslední tampus 11.03.2025 23:15	tampus	11.03.2025 23:15

Jen tip.
"bad certificate"
To může znamenat to, že certifikát je špatně sestavený, opravdu je v něm to, co by v něm mělo být?
Pokud je certifikát OK, tak opravdu je vše nastavené správně v DNS?
Třeba tu:
https://serverfault.com/questions/1151975/specific-incoming-mail-to-postfix-rejected-by-sslv3-alert-bad-certifica-tes3-pk
byl problém v DNS.
A to fakt nemůžeš přejít na nejnovější postfix, OpenSSL a TLSv1.3? Já všechno mám na OpenSSL 3.4 a TLSv1.3

Nespletl sis verzi Thunderbird x Firefox? TB je poslední verze 128.

4. března vyšla verze TB 136.0.

Pravda. Já jedu na portable verzi:
https://sourceforge.net/projects/portableapps/files/Mozilla%20Thunderbird%2C%20P.E./

Podľa toho čo popisuješ v certfikátoch alebo na serveri asi problém nebude, keďže Tebe to doma funguje...
Skontroluj nastavenia emailového klienta - konfigurácia - Connection security - či má byť STARTTLS pre smtp alebo SSL/TLS, to ja neviem...

To by tam byla jiná hláška než "bad certificate", ne?

Nie, nejde tu o "zlý certifikát", ale o to, že odosielateľ MTA nemohol overiť certifikát - server poskytuje certifikát, ktorý odosielateľ neprijme...

Tys psal, že to může být nastavením STARTTLS vs TLS. Já ti jen píšu, že kdyby byl problém v tomto nastavení tak by tam byla jiná chybová hláška, protože certifikát to používá v obou případech a pokud to selže na hlášce "bad certificate", ať je způsobená čímkoliv, tak by to selhalo v obou případech.

To vsetko je ok, TB 136 si vobec nestiahne certifikat a neoznaci ho ako nedoveryhodny, s tym, ze mozem pridat vynimku, TB 128 s tymi istymi nastaveniami si ho stiahne, po potvrdeni vynimky aj odosle postu.

Někomu pomohlo "vystoupit a nastoupit".

The issue is at least at TB side, as you said.
I’ve changed server-settings to connect without SSL and re-change it to use SSL.
Then I got a notification, that the certificat is unsecure. I add an exception to allow this, and now it work again.

Tady to by podle mě vypadalo na to, že by tam mohl být nějaký požadavek na minimální konfiguraci certifikátu, v tom případě by bylo jako řešení vhodnější vytvořit certifikát s aktuálním validním nastavením, ne? Jako např. něco ve smyslu ECDSA (P-256) nebo RSA (2048 bit), na jak dlouho certifikát je a pod.
fleg by tu mohl dát odkaz na (veřejný) certifikát co tam používá.

potkal jsem něco podobného u známého co má mail na Tiscali, takže to by mohlo být ono.

Ještě mě napadá, že Fleg přehlídl konec platnosti certifikátu nebo CA.

Nie, to som kontroloval, navyse s tym by mali problemy aj starsie verzie, pripadne moj TheBat!.

11. 3. 2025, 10:58:01: SEND - Initiating TLS handshake
>11. 3. 2025, 10:58:01: SEND - Certificate S/N: CAD6610D1D63073C, algorithm: RSA (2048 bits), issued from 3/28/2023 5:13:56 PM to 3/26/2028 5:13:56 PM, for 1 host(s): mail.n4all.sk.
>11. 3. 2025, 10:58:01: SEND - Owner: "SK", "Slovakia", "Topolcany", "N4all", "IT", "mail.n4all.sk", "support@n4all.sk".
>11. 3. 2025, 10:58:01: SEND - This certificate is self-issued.
!11. 3. 2025, 10:58:01: SEND - TLS handshake failure. Invalid server certificate (The CA Root certificate is not trusted because it is not in the Trusted Root CA address book).
11. 3. 2025, 10:58:03: SEND - TLS handshake complete
11. 3. 2025, 10:58:03: SEND - connected to SMTP server
11. 3. 2025, 10:58:03: SEND - authenticating (software CRAM-MD5)...

Samozrejme je to self-signed certifikat, ale novy TB sa nedostane ani k jeho stiahnutiu a ppokusu pridat ho do doveryhodnych/vynimiek.

Proč self-signed??? Si udělej CA, tím podepiš mailový certifikát a CA pak přidej do Thunderbirdu jako důvěryhodný a nic se pak potvrzovat nemusí.
A nebo proč nepoužiješ rovnou ofiko CA?

Ja mam smtp bez sasl/ssl zakazane, cize to by moc nedavalo zmysel, ale myslim, ze taketo nieco som skusal...problem je, ze nedojde k uvodnej komunikacii medzi TB a serverom, pretoze (si myslim), TB odmietne previzat certifikat kvoli nizkej verzii TLS/openssl(?).

Podle mě to nízkou verzí TLS nebude, 1.2 by měla stačit a byla by tam jiná hláška než jakou tam máš.

Pol roka stary TB s tym problem nema, iba tento novy, takze nieco sa strane TB muselo zmenit.

To je možné, že se změnilo A?
Je ta doména v Thunderbirdu ve výjimkách?
Pokud ano, smazat. Třeba pak vyskočí okno pro výjimku znova.
Nebo tam tu výjimku přidat, pokud tam není.
Každopádně jak jsem psal, proč nepoužiješ certifikát podepsaný svou CA?
A nebo proč nepoužiješ rovnou ofiko CA?

Vidim to na starou sadu cifer... Kderou tb odrizl

Zkus ručně checknout , nahradit smtp.mail.host
openssl s_client -connect "mail2.ignum.cz:25" -ign_eof -tls1_2 -4 -starttls smtp -name nedulezite -crlf

Bez ohledu na to prvni:

Souhlasi 2 věci?
0 zadana domena serveru v konfig.tb
1. Certifikatova domena vracena serverem (mozna subject alt name nejde pouzit

Posila server full chain? ObvKle tah)e chyba nevadi

"Vidim to na starou sadu cifer"
Není to starou sadou cifer

Proč to nezkusíš sám?
Však doménu už uvedl. Nebo ti tu mám ten log hodit?
Problém je ten self-signed certifikát a to, že ho Thunderbird nechce použít a nezeptá se na výjimku.
Já bych to řešil tak jak jsem psal, přes CA certifikát.

NetuušIl jsrm že obě 2 kritické fakty budou schované v dalsí odpovedi jen tak naokraj

Zpět do poradny Odpovědět na původní otázku Nahoru