Probleme mit Windows 8 und Outlook (TLS/SSL)

[SebastianG]

Hallo

 

Ich habe vor kurzem ein Upgrade auf Debian Weezy und froxlor durchgef?hrt. (Neuer Server, Mininstall Weezy, froxlor, anschliessend Datenmigration.) Alle Versionen sind Standard und die Konfigurationsdateien wie von Froxlor vorgeschlagen, ausser der M?glichkeit, f?r SMTP/POP3/IMAP TLS und SSL zu unterst?tzen. (Postfix/Dovecot) Die Zertifikate daf?r sind von meiner eigenen CA und inzwischen mehrere Jahre alt und wurden bereits vorher erfolgreich eingesetzt.

Seit der Umstellung funktioniert nun Windows 8 in Kombination mit Outlook 2013 bei SSL/TLS nicht mehr. Outlook 2013 auf Windows 7 funktioniert, Thunderbird und IMAPSize auf Windows 8 funktioniert.

Die n?here Fehleranalyse zeigt im Log von dovecot und Postfix die selbe Fehlermeldung:

 

Postfix:

May 6 10:48:28 froxlor postfix/smtpd[24287]: SSL_accept:failed in SSLv3 read client certificate A
May 6 10:48:28 froxlor postfix/smtpd[24287]: SSL_accept error from xxx.t-ipconnect.de[84.152.x.x]: lost connection

Dovecot:

May 06 21:05:43 imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client certificate A [78.42.x.x]
May 06 21:05:43 imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client certificate A [78.42.x.x]
May 06 21:05:43 imap-login: Warning: SSL failed: where=0x2002: SSLv3 read client certificate A [78.42.x.x]
May 06 21:05:43 imap-login: Info: Disconnected (no auth attempts in 0 secs): user=<>, rip=78.42.x.x, lip=144.76.x.x, TLS handshaking: Disconnect

Outlook 2013:

IMAP: 12:30:02 [db] Mit 'mail.xxx.de' wird eine Verbindung an Port 143 hergestellt.
[snip]
IMAP: 12:30:02 [rx] * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLAIN AUTH=LOGIN AUTH=DIGEST-MD5 AUTH=CRAM-MD5] Welcome at mail.xxx.de
[snip]
IMAP: 12:30:02 [rx] hmpc OK Pre-login capabilities listed, post-login capabilities have more.IMAP: 12:30:02 [tx] ekum STARTTLS
IMAP: 12:30:02 [db] OnNotify: asOld = 5, asNew = 5, ae = 3
IMAP: 12:30:02 [rx] ekum OK Begin TLS negotiation now.
IMAP: 12:30:02 [db] Mit 'Microsoft Unified Security Protocol Provider' wird eine sichere Verbindung ausgehandelt.
IMAP: 12:30:02 [db] OnNotify: asOld = 5, asNew = 6, ae = 2
IMAP: 12:30:03 [db] Die Verbindung mit 'mail.xxx.de' wurde geschlossen.
IMAP: 12:30:03 [db] OnNotify: asOld = 6, asNew = 0, ae = 5
IMAP: 12:30:03 [db] ERROR: "Es kann keine sichere Verbindung mit dem Server hergestellt werden.", hr=2148322330

Da es auf den meissten Clients funktioniert, kann es kein grunds?tzliches Problem mit der Konfiguration oder den Zertifikaten sein. Zudem hat das auch unter Win8 mit Outlook vor der Migration (auf den alten Versionen von Dovecot/Postfix/openSSL) funktioniert.

Es kann auch kein Problem mit Postfix/Dovecot sein, da es bereits im TLS/SSL-Handshake scheitert.

Ein wesentlicher Unterschied scheint mir zu sein, dass Weezy nun TLS1.2 und SSL3 unterst?tzt. Das scheint mir in Kombination mit dem Microsoft Unified Security Protocol Provider ein Problem zu geben. Suchen im Netz sind leider nicht sonderlich ergiebig.

 

Hat jemand schon einmal dieses Problem gehabt und gel?st?

 

Gr?sse

Sebastian

[d00p]

Erst einmal willkommen und danke f?r solch einen Post. Endlich macht sich mal jemand die M?he vorher selber nach zu denken und dazu auch noch anst?ndige Logs zu liefern. Nach dem Lob der Fall: Helfen kann ich dir da nicht so gut, nutze leider kein Outlook.

Deinen ?berlegungen nach k?nnte es allerdings durchaus zwei Ursachen haben (oder ich habe nicht genug info). Hat es denn mit Squeeze und Win8 vorher geklappt? Oder wurden beide System quasi gleichzeitig aktualisiert, so dass man jetzt nicht genau sagen kann, ob das Windows Upgrade oder das Debian-Upgrade schuld war?!

[SebastianG]

Danke f?r das Lob

 

Das Windows 8 mit Outlook ist unver?ndert, es hat kein Update stattgefunden. Zumindest die 7 Clients auf denen es nicht mehr funktioniert. Da ich selber ebenfalls nicht mit Outlook arbeite, habe ich eine virtuelle Maschine aufsetzen m?ssen. (Es  handelt sich also um ein frisches  Win8.1 mit frischem Outlook2013.)

Der alte Server existiert noch und mit dem funktioniert es auch noch. (Es ist aber kein Squeeze, sondern ein gut gepflegtes Unralt-Lenny, sogar noch mit dem froxlor-Vorg?nger.)

Das Problem kann nicht durch eine "verkorkste" Konfiguration auf Server oder Client verursacht sein. Im Kern muss es daran liegen, dass sich Microsoft Unified Security Protocol Provider und OpenSSL nicht verstehen.

 

Meine Hoffnung ist, dass man das ?ber die SSL-Cipher-List oder SSL-Protcols retten kann. (Ich bin mir nat?rlich bewusst dar?ber, dass "Froxlor" an dem Problem nicht wirklich beteiligt ist, aber eigentlich m?sste das Problem mehr Froxlor-Anwender als nur mich treffen.)

[d00p]

Verst?ndlich. Wenn du was rausgefunden hast, w?rden sich hier sicherlich user ?ber eine L?sung freuen.

[SebastianG]

Hallo

 

Auf der dovecot-Mailingliste ist nun ein Workaround dokumentiert:

http://www.dovecot.org/list/dovecot/2014-May/096029.html

 

Auf deutsch:

Beim TLS1.2-Handshake gibt es ein Problem zwischen OpenSSL und dem Microsoft Unified Security Protocol Provider. Letzterer ist seit Windows 8 mit an Board und wird von Outlook 2013 / 2010 genutzt. (Mit anderen Mail-Clients funktioniert es wohl deshalb unter Win8, da diese eine eigene SSL-Bibliothek mitbringen.) 

Ob OpenSSL oder Microsoft "schuld" ist, ist aktuell nicht beantwortet.

 

Als Workaround kann man TLS1.2 unter Microsoft deaktivieren, mittels einem Registry-Eintrag:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS
1.2\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Das ist nat?rlich nur ein Workaround, da man dadurch die globale Sicherheit auf allen SSL-Verbindungen unterh?hlt.