foxmail勾选SSLV23和SSL3收邮件报错（SSLV2正常）的解决办法

Posted 2020-10-29

问题现象：

foxmail客户端工具勾选SSLV3和SSLV23收不到邮件（SSLV2没问题），报“ssl连接错误, errorCode: 5”和“服务器不支持ssl，请检查服务器配置, errorCode: 1”错误。

问题排查：

排查maillog日志报dovecot如下错误，好像提示SSLV3握手失败：
TLS handshaking: SSL_accept() failed: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher, session=<9AytSJdokAzAqARm>

dovecot是由2.2版本升级到2.3版本了，升级之前一切正常的（不管用是SSLV2、SSLV3、SSLV23都可以）。所以使用如下命令查看对比下dovecot 2.2和2.3的默认配置：
/usr/local/kk-mail/service/dovecot/bin
./doveconf或者./doveconf -n

查看2.2下有这两行，所以在2.3下dovecot.conf配置文件中加入这两行：
ssl_protocols = !SSLv2
ssl_cipher_list = ALL:!LOW:!SSLv2:!EXP:!aNULL

重启dovecot服务后报错，意思说2.3版本ssl_protocols这个换成了ssl_min_protocol：
[[email protected] bin]# /etc/init.d/kk_dovecot restart
正在关闭 IMAP daemon (dovecot)：                           [确定]
启动 IMAP daemon (dovecot)：doveconf: Warning: NOTE: You can get a new clean config file with: doveconf -n > dovecot-new.conf
doveconf: Warning: Obsolete setting in /usr/local/kk-mail/service/dovecot/etc/dovecot/dovecot.conf:16: ssl_protocols has been replaced by ssl_min_protocol
Warning: fd limit (ulimit -n) is lower than required under max. load (1024 < 65535), because of default_client_limit
                                                           [确定]

后来又调了下，日志又报另外一个错误：
dovecot  SSL3_GET_CLIENT_HELLO:wrong version number

最后的解决办法（重点）：

在dovecot.conf配置文件中加入这两行，然后重启dovecot后一切都好了。
ssl_min_protocol = SSLv3
ssl_cipher_list = ALL:!ADH:!LOW:!EXP:!aNULL:+HIGH:+MEDIUM

参考链接：
https://www.dovecot.org/list/dovecot/2015-January/099283.html
https://github.com/jasonmunro/cypht/issues/184