Postfix Dovecot et SSL : SSL23: unknown protocol

[andre_...@numericable.fr]

Encore moi, désolé :-)

J'ai un serveur postfix + dovecot + ssl.

Il marche parfaitement avec le port POP 110,
mais pas du tout en mode SSL port 995.

Voici ce que me dit "tail /var/log/mail.err" :
dovecot: pop3-login: Error: SSL: Stacked error: error:140760FC:SSL
routines:SSL23_GET_CLIENT_HELLO:unknown protocol

Mes certifs crt et key semblent bons.
J'en ai créés d'autres mais idem.

J'ai fouillé via Google, ce message m'apporte des centaines
de liens mais aucun ne m'aide.

Merci d'une piste...

André

[Thierry Bugier Pineau]

Bonjour

Essayez de diagnostiquer avec openssl

openssl s_client -connect serveur.org -debug

Plus de détail ici à propos de la commande; car il vous faudra peut être ajouter quelques arguments selon votre cas :
https://wiki.openssl.org/index.php/Manual:S_client(1)

En passant, veillez à bien interdire sslv3 et tls < 1.2 côté serveur.

--
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté.

[andre_...@numericable.fr]

On Sunday 26 March 2017 19:58:05 Thierry Bugier Pineau wrote:

Merci de me répondre.

> Essayez de diagnostiquer avec openssl

> openssl s_client -connect serveur.org -debug :

La commande me renvoie sur le help de openssl...

> Plus de détail ici à propos de la commande; car il vous faudra peut être
ajouter quelques arguments selon votre cas :

> https://wiki.openssl.org/index.php/Manual:S_client(1) :

Pas trop d'infos pour la syntaxe de la commande proposée... :-)

> En passant, veillez à bien interdire sslv3 et tls < 1.2 côté serveur :

Comment interdire sslv3 ?
Sinon, j'ai adopté TLS (STARTTLS) et idem, comment interdire tls < 1.2 ?

Merci,

André

[Thierry Bugier Pineau]

J'ai fait un test avec le serveur SMTP de gmail :

openssl s_client -connect smtp.gmail.com:995 -debug

et ç a fonctionné. Il y aura une quantité importante d'informations, y compris des dumps d'échanges entre le serveur et le client; l'argument -debug est probablement exagéré pour l'instant.

Ce qui est intéressant avec cette commande est qu'une fois la liaison chiffrée établie, vous aurez l'équivalent d'un telnet sur une liaison "en clair", vous permettant de tester manuellement votre serveur.

En ce qui concerne la désactivation de SSLv3 TLSv1.0 et TLSv1.1, j'ai trouvé ceci

http://www.postfix.org/announcements/postfix-2.9.2.html

https://www.skyminds.net/serveur-dedie-configurer-postfix-et-courier-pour-utiliser-tls-ssl-en-perfect-forward-secrecy/

Attention : le second lien date de 2014 et ne déconseille pas TLS 1.0 et 1.1, il faut adapter les exemples. Je garde ces liens pour mes propres notes, car j'ai moi aussi dégrossi postfix + dovecot il y a quelques temps. J'ai encore mes notes de brouillon d'ailleurs, que je pourrais ressortir pour l'occasion :).

La raison de cette restriction est d'empêcher un client un peu trop vieux de se connecter en négociant un protocole de chiffrement devenu vulnérable, par incapacité à utiliser un protocole encore fiable. Cela dit, c'est un peu hors du sujet. Je pense qu'il faut garder cela pour la touche finale du chiffrement. La openssl s_client aidera de nouveau, pour vérifier l'échec de connection avec des protocoles bannis.

[andre_...@numericable.fr]

On Sunday 26 March 2017 22:27:06 you wrote:
> J'ai fait un test avec le serveur SMTP de gmail :
> openssl s_client -connect smtp.gmail.com:995 -debug

> et ça a fonctionné. Il y aura une quantité importante d'informations :

Depuis mon serveur :
openssl s_client -connect localhost:995 -debug :
les d'infos...
+OK Dovecot ready.

openssl s_client -connect <mon_domaine_serveur>:995 -debug :
aucune réponse... ou
gethostbyname failure
connect:errno=0

Depuis un poste client :
openssl s_client -connect <mon_domaine_serveur>:995 -debug :
les d'infos...
+OK Dovecot ready.

tail /var/log/mail.err :
ssl3_get_client_hello:no shared cipher
SSL23_GET_CLIENT_HELLO:unknown protocol

Voilà le topo,

bonne fin de soirée,

André

[Thierry Bugier Pineau]

Bonjour

Apparemment 2 essais sur 3 sont bons, et celui qui échoue doit venir du fait que la résolution DNS sur le serveur n'est pas configurée pour résoudre son propre nom. Au plus simple, il faudrait mettre à jour /etc/hosts. C'est quand même mieux que le serveur sache comment il s'appelle.

Dans les cas où la connection réussit, il faudrait vérifier qu'un chiffrement est bien mis en place. La seule ligne "+OK Dovecot ready" ne l'indique pas mais il doit y avoir une bonne quantité d'infos avant elle; notamment au début.

A propos de l'erreur dans /var/log/mail.err, je chercherai tout à l'heure dans mes notes si j'ai des infos à ce sujet.

[andre_...@numericable.fr]

On Monday 27 March 2017 09:05:21 Thierry Bugier Pineau wrote:
> Apparemment 2 essais sur 3 sont bons, et celui qui échoue doit venir du
> fait que la résolution DNS sur le serveur n'est pas configurée pour
> résoudre son propre nom. Au plus simple, il faudrait mettre à jour
> /etc/hosts. C'est quand même mieux que le serveur sache comment il

> s'appelle :

Le fichier "/etc/hosts" sur le serveur :
<IP> nom-serveur.domaine domaine pop.domaine smtp.domaine
C'est bon ?

> Dans les cas où la connection réussit, il faudrait vérifier qu'un
> chiffrement est bien mis en place. La seule ligne "+OK Dovecot ready"
> ne l'indique pas mais il doit y avoir une bonne quantité d'infos avant

> elle; notamment au début :

Oui, avant "+OK Dovecot ready" il y a des tas d'infos sur le certificat,
sans message d'erreur.

> A propos de l'erreur dans /var/log/mail.err, je chercherai tout à

> l'heure dans mes notes si j'ai des infos à ce sujet :

Elles sont toujours d'actualité, je les rappelle :

dovecot: pop3-login: Error: SSL: Stacked error: error:140760FC:SSL
routines:SSL23_GET_CLIENT_HELLO:unknown protocol

dovecot: pop3-login: Error: SSL: Stacked error: error:1408A0C1:SSL
routines:ssl3_get_client_hello:no shared cipher

Merci,

André

[Thierry Bugier Pineau]

Le mardi 28 mars 2017 à 11:02 +0200, andre_...@numericable.fr a écrit :

On Monday 27 March 2017 09:05:21 Thierry Bugier Pineau wrote:
> Apparemment 2 essais sur 3 sont bons, et celui qui échoue doit venir du
> fait que la résolution DNS sur le serveur n'est pas configurée pour
> résoudre son propre nom. Au plus simple, il faudrait mettre à jour
> /etc/hosts. C'est quand même mieux que le serveur sache comment il
> s'appelle :

Le fichier "/etc/hosts" sur le serveur :
<IP> nom-serveur.domaine  domaine  pop.domaine  smtp.domaine
C'est bon ?

Dans mes diverses notes j'ai retenu ceci pour /etc/hosts

127.0.0.1 localhost

127.0.1.1 nom-serveur.domaine  domaine  pop.domaine  smtp.domaine

D'ailleurs si quelqu'un sait m'expliquer pourquoi attribuer les noms "personnalisés" sur 127.0.1.1 au lieu de 127.0.0.1,

je suis preneur.

J'ai remarqué que si on ne remplit pas le fichier correctement la commande hostname peut s'en trouver perturbée. Je conseille donc de vérifier après le changement que hostname -d, hostname -s et hostname -f donnent un résultat cohérent, sans lenteur.

> Dans les cas où la connection réussit, il faudrait vérifier qu'un
> chiffrement est bien mis en place. La seule ligne "+OK Dovecot ready"
> ne l'indique pas mais il doit y avoir une bonne quantité d'infos avant
> elle; notamment au début :

Oui, avant "+OK Dovecot ready" il y a des tas d'infos sur le certificat,
sans message d'erreur.

> A propos de l'erreur dans /var/log/mail.err, je chercherai tout à
> l'heure dans mes notes si j'ai des infos à ce sujet :

Elles sont toujours d'actualité, je les rappelle :

dovecot: pop3-login: Error: SSL: Stacked error: error:140760FC:SSL 
routines:SSL23_GET_CLIENT_HELLO:unknown protocol

dovecot: pop3-login: Error: SSL: Stacked error: error:1408A0C1:SSL 
routines:ssl3_get_client_hello:no shared cipher

Pour ces erreurs je n'ai pas encore pu fouiller mes notes; mais un coup d'oeil sur google m'a montré que ce n'est pas spécifique à dovecot, donc il y a potentiellement un réel souci sur le SSL ou bien sur l'utilisation de SSL par Dovecot.

Merci,

André

[andre_...@numericable.fr]

On Tuesday 28 March 2017 13:57:29 Thierry Bugier Pineau wrote:
> Dans mes diverses notes j'ai retenu ceci pour /etc/hosts
> 127.0.0.1 localhost127.0.1.1 nom-serveur.domaine 

> domaine  pop.domaine  smtp.domaine :

Je pense pas que ces lignes de "/etc/hosts" soient la cause du problème :-)

> Pour ces erreurs je n'ai pas encore pu fouiller mes notes; mais un coup
> d'oeil sur google m'a montré que ce n'est pas spécifique à dovecot,
> donc il y a potentiellement un réel souci sur le SSL ou bien sur

> l'utilisation de SSL par Dovecot :

En modifiant la ligne "/etc/dovecot/conf.d/10-ssl.conf" :
ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:ALL:!aNULL:!ADH:!eNULL:!EXP:RC4+RSA:
+HIGH:+MEDIUM
ça semble remarcher.

La détection auto de Kmail me met :
TLS, port 110, méthode d'identification PLAIN,
OK
En mettant le port 995 à la mano = OK aussi.

# tail /var/log/mail.err
n'affiche plus d'erreur : "SSL23: unknown protocol",
mais toujours l'erreur :
"pop3-login : Error : ssl3_get_client_hello : no shared cipher"

Bonne journée,

André

[andre_...@numericable.fr]

On Thursday 30 March 2017 16:00:40 andre_...@numericable.fr wrote:
> ça semble remarcher.

> # tail /var/log/mail.err
> n'affiche plus d'erreur : "SSL23: unknown protocol",
> mais toujours l'erreur :
> "pop3-login : Error : ssl3_get_client_hello : no shared cipher"

Je n'ai plus de message d'erreur dans :
/var/log/mail.err, ni /var/log/mail.log

Le problème venait de "cipher",
/etc/dovecot/conf.d/10-ssl.conf" => ligne "ssl_cipher_list = "
à adapter.

Bonne journée à tous,

André

[Thierry Bugier Pineau]

Bonjour

Ce serait intéressant de savoir ce que contenant la lishe ssl_cipher_list avant modification, et ce qu'elle contient maintenant.

A propos de /etc/hosts, il est clair que c'était pas le souci, mais dans les essais fait il y a quelques jours, le serveur ne pouvait pas résoudre son propre nom. Modifier /etc/hosts résout ce petit détail.

Je vous invite à utilsier un outil de test SSL / TLS en ligne pour affiner la configuration maintenant, car il y a un paquet de choses à faire pour avoir un chiffrement pas trop fragile.

[andre_...@numericable.fr]

On Friday 31 March 2017 14:22:31 Thierry Bugier Pineau wrote:
> Ce serait intéressant de savoir ce que contenant la liste

> ssl_cipher_list avant modification, et ce qu'elle contient maintenant.

Avant :

ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:ALL:!aNULL:!ADH:!eNULL:!EXP:RC4+RSA:
+HIGH:+MEDIUM

Maintenant :
ssl_cipher_list = TLSv1+HIGH !SSLv2 !RC4 !aNULL !eNULL !3DES @STRENGTH

> Je vous invite à utiliser un outil de test SSL / TLS en ligne :

SSL/TLS est bien activé et l'outil de test est positif,
openssl, testssl etc...

> pour affiner la configuration maintenant, car il y a un paquet
> de choses à faire pour avoir un chiffrement pas trop fragile.

"Affiner et un paquet de choses à faire" :
que peut-on faire ? Là je suis dépassé...

André

[Thierry Bugier Pineau]

Bonsoir

De ce que je vois la nouvelle liste n'exclut pas explicitement SSLv3, TLSv1.0 et TLSv1.1. Ces trois méthodes de chiffrement sont désormais vulnérables.

Je pense que vous devez inventorier les clients mail qui seront utilisés et rechercher pour chacun si ils supportent TLSv1.2. Si c'est le cas (ce qui est très probable) alors il faut a jouter !SSLv3, !TLSv1.0 et !TLSv1.1 . Je devine que vous avez pris votre liste quelque part sur une vieille source non maintenue (elles pulullent et ce mail sera obsolète dans quelques mois ou années).

En gros, SSL est complètement obsolète et seul TLSv1.2+ reste encore valable (de ce que je sais à ce jour).

Pour tester si SSLv2, v2 et TLS v1.0, 1.1 sont permis, réutilisez la commande openssl s_client que j'ai donnée il y a quelques jours et ajoutez un argument qui force l'usage d'une méthode de chiffrement. Essayez successivement les arguments suivants:

-ssl2

-ssl3

-tls1

-tls1_1

-tls1_2

(plus de détail ici https://www.openssl.org/docs/man1.0.1/apps/s_client.html)

Une bonne configuration fera en sorte que seul -tls1_2 aboutira à une connection réussie. Les autres doivent échouer.

Après il y a le perfect forward secrecy à vérifier, je n'ai pas encore la connaissance suffisante à ce sujet mais c'est encore uen question de réglage sur le SSL/TLS. (introduction ici https://fr.wikipedia.org/wiki/Confidentialit%C3%A9_persistante)

Peut être que la cipher suite préférée pour mon serveur web sera intéressante; je la partage tout à l'heure.

[andre_...@numericable.fr]

On Friday 31 March 2017 20:07:37 Thierry Bugier Pineau wrote:
> De ce que je vois la nouvelle liste n'exclut pas explicitement SSLv3,
> TLSv1.0 et TLSv1.1. Ces trois méthodes de chiffrement sont désormais
> vulnérables.
> Je pense que vous devez inventorier les clients mail qui seront
> utilisés et rechercher pour chacun si ils supportent TLSv1.2. Si c'est
> le cas (ce qui est très probable) alors il faut a jouter !SSLv3,
> !TLSv1.0 et !TLSv1.1 . Je devine que vous avez pris votre liste quelque
> part sur une vieille source non maintenue (elles pulullent et ce mail
> sera obsolète dans quelques mois ou années). 
> En gros, SSL est complètement obsolète et seul TLSv1.2+ reste encore
> valable (de ce que je sais à ce jour).
> Pour tester si SSLv2, v2 et TLS v1.0, 1.1 sont permis, réutilisez la
> commande openssl s_client que j'ai donnée il y a quelques jours et
> ajoutez un argument qui force l'usage d'une méthode de chiffrement.
> Essayez successivement les arguments suivants:

> -ssl2-ssl3-tls1-tls1_1-tls1_2 :
Ou place t-on ces arguments ?

> (https://www.openssl.org/docs/man1.0.1/apps/s_client.html)

> Une bonne configuration fera en sorte que seul -tls1_2 aboutira à une
> connection réussie. Les autres doivent échouer.
> Après il y a le perfect forward secrecy à vérifier, je n'ai pas encore
> la connaissance suffisante à ce sujet mais c'est encore uen question de
> réglage sur le SSL/TLS. (introduction ici :

> https://fr.wikipedia.org/wiki/Confidentialit%C3%A9_persistante :
Erreur 404...

> Peut être que la cipher suite préférée pour mon serveur web sera

> intéressante; je la partage tout à l'heure :

Oui, je veux bien.

@+

André

[Thierry Bugier Pineau]

Voilà ce que j'ai pour mon serveur web dans la cipher suite

ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

Ca ne liste que des méthodes de chiffrement, le protocole est dans un paramétrage à part, contrairement à ce que j'avais dans mon souvenir.

En cherchant activement il semble que !SSLv3 !TLSv1.0 et !TLSv1.1 auraient mieux leur place dans ssl_protocols (qui devrait être sur la ligne précédant ssl_cipher_list)

je pense que vous pouvez essayer d'ajouter !SSLv3 puis !TLSv1.0 et !TLSv1.1 successivement en testant à chaque fois, et voir si des problèmes apparaissent. Du moment que vous gardez une configuration qui fonctionne au chaud, il n'y a pas de risque particulier.

En réponse à votre dernier mesage :

- Je remets le lien vers la page wikipédia : l'accent a été altéré

https://fr.wikipedia.org/wiki/Confidentialité_persistante

- un exemple de connection client avec openssl en forçant tls1 (testé sur imap.gmail.com)

openssl s_client -connect imap.server.com:993 -tls1

Je suis sous Debian Sid, et -ssl2 et -ssl3 ne sont apparemment plus reconnus (bien qu'encore présents dans la documentation).

Le vendredi 31 mars 2017 à 19:00 +0200, andre_...@numericable.fr a écrit :

[andre_...@numericable.fr]

On Friday 31 March 2017 22:11:31 Thierry Bugier Pineau wrote:
> Voilà ce que j'ai pour mon serveur web dans la cipher suite 
> ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-
> CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-
> SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-
> AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

Merci.

Dans le serveur Web, mais mon souci est dans Postfix-Dovecot-SSL/TLS.

> Ca ne liste que des méthodes de chiffrement, le protocole est dans un
> paramétrage à part, contrairement à ce que j'avais dans mon souvenir. 
> En cherchant activement il semble que !SSLv3 !TLSv1.0 et !TLSv1.1
> auraient mieux leur place dans ssl_protocols (qui devrait être sur la
> ligne précédant ssl_cipher_list)

ssl_protocols = ... dans le fichier "dovecot.conf" ?
Si oui, cette ligne n'a pas été créée lors de l'installation de dovecot.

> je pense que vous pouvez essayer d'ajouter !SSLv3 puis !TLSv1.0 et
> !TLSv1.1 successivement en testant à chaque fois, et voir si des
> problèmes apparaissent. Du moment que vous gardez une configuration qui
> fonctionne au chaud, il n'y a pas de risque particulier.

Ou et comment ajouter "!SSLv3 puis !TLSv1.0 !TLSv1.1" ?

> En réponse à votre dernier message :

> - Je remets le lien vers la page wikipédia : l'accent a été altéréhttps
> ://fr.wikipedia.org/wiki/Confidentialité_persistante

Ok, ça fonctionne, page instructive.

> - un exemple de connection client avec openssl en forçant tls1 (testé

> sur imap.gmail.com)openssl s_client -connect imap.server.com:993 -tls1

> Je suis sous Debian Sid, et -ssl2 et -ssl3 ne sont apparemment plus
> reconnus (bien qu'encore présents dans la documentation).  

Bonne journée,

André

[andre_...@numericable.fr]

J'avais déclaré le sujet "résolu" un peu vite, désolé.
Ça ne fonctionne pas avec "imap",

voici ce que Kmail me répond (port 143 ou 993) :
=================
"impossible de se connecter à « imap.mon_domaine »
Le serveur n'a pas répondu correctement :
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE
STARTTLS AUTH=PLAIN] Dovecot ready"
=================

Avec le port 110, ça fonctionne mais je dois confirmer le certificat.

Bonne journée,

André

[Thierry Bugier Pineau]

Bonjour

le sujet a achevé de me motiver pour m'y remettre aussi. D'où mon silence. J'ai préparé postfix, je continue avec Dovecot dans les jours à venir et ensuite je m'attaque au TLS pour atteindre le même niveau de progression et donner un coup de main.

J'essaie aussi de créer un script shell (très sommaire) pour rendre la configuration maintenable et reproductible (que je partagerai volontiers sur github).

[andre_...@numericable.fr]

On Tuesday 04 April 2017 10:43:15 Thierry Bugier Pineau wrote:
> le sujet a achevé de me motiver pour m'y remettre aussi. D'où mon
> silence.  J'ai préparé postfix, je continue avec Dovecot dans les jours
> à venir et ensuite je m'attaque au TLS pour atteindre le même niveau de
> progression et donner un coup de main.
> J'essaie aussi de créer un script shell (très sommaire) pour rendre la
> configuration maintenable et reproductible (que je partagerai
> volontiers sur github).

Je l'attends avec plaisir, merci d'avance.

Ça fait longtemps que dovecot + certificats me posent soucis... :-)

Bonne journée,

André

> Le mardi 04 avril 2017 à 10:24 +0200, andre_debian a écrit :
> > J'avais déclaré le sujet "résolu" un peu vite, désolé.
> > Ça ne fonctionne pas avec "imap",
> > voici ce que Kmail me répond (port 143 ou 993) :
> > =================
> > "impossible de se connecter à « imap.mon_domaine »
> > Le serveur n'a pas répondu correctement :
> > * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE
> > IDLE 
> > STARTTLS AUTH=PLAIN] Dovecot ready"
> > =================
> > Avec le port 110, ça fonctionne mais je dois confirmer le certificat.

> > André

[andre_...@numericable.fr]

On Tuesday 04 April 2017 10:43:15 Thierry Bugier Pineau wrote:

> le sujet a achevé de me motiver pour m'y remettre aussi. D'où mon
> silence.  J'ai préparé postfix, je continue avec Dovecot dans les jours
> à venir et ensuite je m'attaque au TLS pour atteindre le même niveau de
> progression et donner un coup de main.
> J'essaie aussi de créer un script shell (très sommaire) pour rendre la
> configuration maintenable et reproductible (que je partagerai
> volontiers sur github).

On Tuesday 04 April 2017 14:12:45 andre_...@numericable.fr wrote:
> Je l'attends avec plaisir, merci d'avance.
> Ça fait longtemps que dovecot + certificats me posent soucis... :-)
> Bonne journée, André

Je n'ai pas reçu de réponse à cette promesse ci-dessus... :-)

André

[Thierry Bugier Pineau]

J'y pense ; il faut juste que je me dégage un peu de temps. Je ne n ai pas vraiment eu pour l'instant.

En passant j'ai trouvé sur le wiki de Dovecot un script shell qui permet d'éditer sa configuration via la ligne de commande ou un autre script. C'est partiellement expérimental. On n'a pas d'équivalent à postconf ? Cet outil facilite énormément le travail d'automatisation.

[G2PC]

Afficher un ascii art au lancement de votre terminal

Le code suivant avec ZSH affiche l'erreur : zsh: bad pattern: e[0

\e[0;36m. 
zsh: bad pattern: e[0

Avez vous une piste pour permettre l'affichage ?

Exemple : https://www.visionduweb.eu/forum/os-gnu-linux/1148-afficher-un-ascii-art-au-lancement-de-votre-terminal

[Étienne Mollier]

Bonjour,

On 04/15/2017 12:00 PM, G2PC wrote:
> *Afficher un ascii art au lancement de votre terminal*

>
> Le code suivant avec ZSH affiche l'erreur : zsh: bad pattern: e[0
>
> \e[0;36m.
> zsh: bad pattern: e[0
>
>
> Avez vous une piste pour permettre l'affichage ?

On dirait que zsh tente d'interprêter ton code d'échappement au
lieu de le passer au terminal. As-tu protégé ta chaîne de caractères
avec des doubles quotes?

Normalement la commande suivante devrait t'afficher un point vert:

echo -e "\e[0;36m."

J'ai fait le test en bash, mais le comportement devrait être assez
voisin de celui de zsh dans ce cas.

À plus,
--
Étienne Mollier <etienne...@mailoo.org>

[Pierre Malard]

Je pense que cela dépend plus de la commande utilisée que du shell. Regarde déjà sur tu as accès à l’option « -e » avec echo en lisant le man.

Sinon, tu peux toujours essayer avec un « printf »…

-- 

Pierre Malard

   « Tous les Français ambitionnent pour la France un grand rôle

   dans le monde. Ce n'est point par des aventures guerrières qu'elle

   le trouvera, c'est en donnant aux peuples l'exemple et le signal

   de justice. »

                                            Jean Jaures - "L'idéal de justice" - 1889

   |\      _,,,---,,_

   /,`.-'`'    -.  ;-;;,_

  |,4-  ) )-,_. ,\ (  `'-'

 '---''(_/--'  `-'\_)   πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-  ) )-,_. ,\ (  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'  `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'

- --> Ce message n’engage que son auteur <--

[Thierry Bugier Pineau]

Bonsoir

J'en suis à la configuration du TLS sur SMTP

Voilà la configuration que j'ai pour le moment, et qui n'autorise que TLS 1.2

La configuration é été vérifiée successivement avec le site suivant

https://ssl-tools.net/mailservers

Il considère une configuration fiable si TLS 1.0 ou 1.1 sont permis, mais je compte bien les bannir, sauf si quelque chose m'oblige à revenir en arrière.

C'est un extrait de mon /etc/postfix/main.cf ;

smtpd_tls_security_level = encrypt

smtpd_tls_received_header = no

smtpd_tls_auth_only = yes

smtpd_tls_loglevel = 1

smtpd_tls_cert_file = /path/to/cert.pem

smtpd_tls_key_file = /path/to/priv.key

smtpd_use_tls = yes

smtp_tls_note_starttls_offer = yes

smtpd_tls_session_cache_timeout = 3600s

smtpd_tls_exclude_ciphers = aNULL, MD5, DES, 3DES, DES-CBC3-SHA, RC4-SHA, AES256-SHA, AES128-SHA

tls_high_cipherlist = ECDH+aRSA+AES256:ECDH+aRSA+AES128:AES256-SHA:DES-CBC3-SHA

smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1

smtpd_tls_mandatory_protocols = TLSv1.2