Thunderbird 136 vs moj smtp server

Neviem, co zase vymysleli inzinieri v TB, ale dnes mi hlasilo zopar ludi, ze nevedia odosielat maily z mojho stareho mailoveho servera.
Zistil som, ze TB laskavo akceptoval moj imap server, ale uz nie smtp a nechce sa s nimi ano za toho oneho dohonut na vymene certifikatov.
V minulosti stacilo znizit tls ver na 1 a povolit deprecated tls, ale tentoraz tam pridali asi este nieco ine lebo to nejde.
Na servri vidim nieco taketo:

Mar 11 10:30:53 mail postfix/smtpd[3610]: warning: TLS library problem: 3610:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1315:SSL alert number 42:
Mar 11 10:54:52 mail postfix/smtpd[3730]: warning: TLS library problem: 3730:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1315:SSL alert number 42:
Mar 11 10:55:23 mail postfix/smtpd[3730]: warning: TLS library problem: 3730:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1315:SSL alert number 42:
Mar 11 10:57:36 mail postfix/smtpd[3767]: warning: TLS library problem: 3767:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1315:SSL alert number 42:
Mar 11 11:00:24 mail postfix/smtpd[3767]: warning: TLS library problem: 3767:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1315:SSL alert number 42:
Mar 11 11:16:10 mail postfix/smtpd[3968]: warning: TLS library problem: 3968:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1315:SSL alert number 42:
Mar 11 11:17:28 mail postfix/smtpd[3968]: warning: TLS library problem: 3968:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1315:SSL alert number 42:
Mar 11 11:18:25 mail postfix/smtpd[3968]: warning: TLS library problem: 3968:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1315:SSL alert number 42:
Mar 11 11:19:54 mail postfix/smtpd[3968]: warning: TLS library problem: 3968:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1315:SSL alert number 42:

Nechapem, co zase povypinali, akoze ten server je stary to uznavam, ale ma tam TLS 1.2, takze by to moholo este chvilku chodit.
OpenSSL 1.0.1t 3 May 2016
SSLv3
TLSv1.2
Rady upgraduj server moc pocut nechcem, ja sa k tomu raz dokopem, alebo ho celkom zrusim.

Thunderbird 128.8.0 mi doma funguje, ked som instaloval u zakaznika, ktory mal 136 predtym siel tiez.

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny

Předmět	Autor	Datum
Podľa toho čo popisuješ v certfikátoch alebo na serveri asi problém nebude, keďže Tebe to doma fungu… pme 11.03.2025 19:02	pme	11.03.2025 19:02
To vsetko je ok, TB 136 si vobec nestiahne certifikat a neoznaci ho ako nedoveryhodny, s tym, ze moz… nový fleg 11.03.2025 22:26	fleg	11.03.2025 22:26
Někomu pomohlo "vystoupit a nastoupit". The issue is at least at TB side, as you said. I’ve changed… host 11.03.2025 19:30	host	11.03.2025 19:30
potkal jsem něco podobného u známého co má mail na Tiscali, takže to by mohlo být ono. Ještě mě nap… touchwood 11.03.2025 20:12	touchwood	11.03.2025 20:12
Nie, to som kontroloval, navyse s tym by mali problemy aj starsie verzie, pripadne moj TheBat!. 11… fleg 11.03.2025 21:29	fleg	11.03.2025 21:29
Proč self-signed??? Si udělej CA, tím podepiš mailový certifikát a CA pak přidej do Thunderbirdu jak… nový kacikac 11.03.2025 21:40	kacikac	11.03.2025 21:40
Ja mam smtp bez sasl/ssl zakazane, cize to by moc nedavalo zmysel, ale myslim, ze taketo nieco som s… nový fleg 11.03.2025 21:38	fleg	11.03.2025 21:38
Podle mě to nízkou verzí TLS nebude, 1.2 by měla stačit a byla by tam jiná hláška než jakou tam máš. nový kacikac 11.03.2025 21:45	kacikac	11.03.2025 21:45
Pol roka stary TB s tym problem nema, iba tento novy, takze nieco sa strane TB muselo zmenit. nový fleg 11.03.2025 21:53	fleg	11.03.2025 21:53
To je možné, že se změnilo :-) A? Je ta doména v Thunderbirdu ve výjimkách? Pokud ano, smazat. Třeba… nový kacikac 11.03.2025 22:37	kacikac	11.03.2025 22:37
Vidim to na starou sadu cifer... Kderou tb odrizl Zkus ručně checknout , nahradit smtp.mail.host op… nový tampus 11.03.2025 22:20	tampus	11.03.2025 22:20
"Vidim to na starou sadu cifer" Není to starou sadou cifer :-) Proč to nezkusíš sám? :-) Však domén… nový kacikac 11.03.2025 22:33	kacikac	11.03.2025 22:33
NetuušIl jsrm že obě 2 kritické fakty budou schované v dalsí odpovedi jen tak naokraj nový tampus 11.03.2025 23:15	tampus	11.03.2025 23:15
Rovnako mam podpisany aj imapovy a pop3 certifikat a s tym TB problem nema. nový fleg 12.03.2025 17:03	fleg	12.03.2025 17:03
Nie som odborník na tieto veci a ani sa na to nehrám, ale Certificate #1 of 1 (sent by MX): Cert VA… nový pme 12.03.2025 16:53	pme	12.03.2025 16:53
Šak ta chybová hláška říká: Chyba validace certifikátu, certifikát je self signed, spojení je sice š… poslední kacikac 12.03.2025 17:52	kacikac	12.03.2025 17:52

Podľa toho čo popisuješ v certfikátoch alebo na serveri asi problém nebude, keďže Tebe to doma funguje...
Skontroluj nastavenia emailového klienta - konfigurácia - Connection security - či má byť STARTTLS pre smtp alebo SSL/TLS, to ja neviem...

To vsetko je ok, TB 136 si vobec nestiahne certifikat a neoznaci ho ako nedoveryhodny, s tym, ze mozem pridat vynimku, TB 128 s tymi istymi nastaveniami si ho stiahne, po potvrdeni vynimky aj odosle postu.

Někomu pomohlo "vystoupit a nastoupit".

The issue is at least at TB side, as you said.
I’ve changed server-settings to connect without SSL and re-change it to use SSL.
Then I got a notification, that the certificat is unsecure. I add an exception to allow this, and now it work again.

potkal jsem něco podobného u známého co má mail na Tiscali, takže to by mohlo být ono.

Ještě mě napadá, že Fleg přehlídl konec platnosti certifikátu nebo CA.

Nie, to som kontroloval, navyse s tym by mali problemy aj starsie verzie, pripadne moj TheBat!.

11. 3. 2025, 10:58:01: SEND - Initiating TLS handshake
>11. 3. 2025, 10:58:01: SEND - Certificate S/N: CAD6610D1D63073C, algorithm: RSA (2048 bits), issued from 3/28/2023 5:13:56 PM to 3/26/2028 5:13:56 PM, for 1 host(s): mail.n4all.sk.
>11. 3. 2025, 10:58:01: SEND - Owner: "SK", "Slovakia", "Topolcany", "N4all", "IT", "mail.n4all.sk", "support@n4all.sk".
>11. 3. 2025, 10:58:01: SEND - This certificate is self-issued.
!11. 3. 2025, 10:58:01: SEND - TLS handshake failure. Invalid server certificate (The CA Root certificate is not trusted because it is not in the Trusted Root CA address book).
11. 3. 2025, 10:58:03: SEND - TLS handshake complete
11. 3. 2025, 10:58:03: SEND - connected to SMTP server
11. 3. 2025, 10:58:03: SEND - authenticating (software CRAM-MD5)...

Samozrejme je to self-signed certifikat, ale novy TB sa nedostane ani k jeho stiahnutiu a ppokusu pridat ho do doveryhodnych/vynimiek.

Proč self-signed??? Si udělej CA, tím podepiš mailový certifikát a CA pak přidej do Thunderbirdu jako důvěryhodný a nic se pak potvrzovat nemusí.
A nebo proč nepoužiješ rovnou ofiko CA?

Ja mam smtp bez sasl/ssl zakazane, cize to by moc nedavalo zmysel, ale myslim, ze taketo nieco som skusal...problem je, ze nedojde k uvodnej komunikacii medzi TB a serverom, pretoze (si myslim), TB odmietne previzat certifikat kvoli nizkej verzii TLS/openssl(?).

Podle mě to nízkou verzí TLS nebude, 1.2 by měla stačit a byla by tam jiná hláška než jakou tam máš.

Pol roka stary TB s tym problem nema, iba tento novy, takze nieco sa strane TB muselo zmenit.

To je možné, že se změnilo A?
Je ta doména v Thunderbirdu ve výjimkách?
Pokud ano, smazat. Třeba pak vyskočí okno pro výjimku znova.
Nebo tam tu výjimku přidat, pokud tam není.
Každopádně jak jsem psal, proč nepoužiješ certifikát podepsaný svou CA?
A nebo proč nepoužiješ rovnou ofiko CA?

Vidim to na starou sadu cifer... Kderou tb odrizl

Zkus ručně checknout , nahradit smtp.mail.host
openssl s_client -connect "mail2.ignum.cz:25" -ign_eof -tls1_2 -4 -starttls smtp -name nedulezite -crlf

Bez ohledu na to prvni:

Souhlasi 2 věci?
0 zadana domena serveru v konfig.tb
1. Certifikatova domena vracena serverem (mozna subject alt name nejde pouzit

Posila server full chain? ObvKle tah)e chyba nevadi

"Vidim to na starou sadu cifer"
Není to starou sadou cifer

Proč to nezkusíš sám?
Však doménu už uvedl. Nebo ti tu mám ten log hodit?
Problém je ten self-signed certifikát a to, že ho Thunderbird nechce použít a nezeptá se na výjimku.
Já bych to řešil tak jak jsem psal, přes CA certifikát.

NetuušIl jsrm že obě 2 kritické fakty budou schované v dalsí odpovedi jen tak naokraj

Rovnako mam podpisany aj imapovy a pop3 certifikat a s tym TB problem nema.

Nie som odborník na tieto veci a ani sa na to nehrám, ale

Certificate #1 of 1 (sent by MX):
Cert VALIDATION ERROR(S): self signed certificate
So email is encrypted but the recipient domain is not verified
Cert Hostname VERIFIED (mail.n4all.sk = mail.n4all.sk)

Netuším čo s tým...

overenie si môžeš urobiť aj sám tu:

https://www.checktls.com/TestReceiver

Šak ta chybová hláška říká:
Chyba validace certifikátu, certifikát je self signed, spojení je sice šifrované, ale doména není ověřena.
Pokud chceš aby tam tato hláška nebyla, tak si tam dej certifikát ověřený veřejně uznávanou CA.
A jestli se ti nedaří pořešit Thunderbird tak bych minimálně vyzkoušel certifikát s vlastnoručně vytvořenou CA, i když ideální by byl podepsaný tou veřejně uznávanou CA jako je třeba Let's Encrypt (zdarma).

Zpět do poradny Odpovědět na původní otázku Nahoru