postfix 和 openJDK 11:“没有合适的协议(协议被禁用或密码套件不合适)”

Posted

技术标签:

【中文标题】postfix 和 openJDK 11:“没有合适的协议(协议被禁用或密码套件不合适)”【英文标题】:postfix and openJDK 11: "No appropriate protocol (protocol is disabled or cipher suites are inappropriate)" 【发布时间】:2021-08-26 03:52:46 【问题描述】:

我知道这个主题还有一些其他问题(有答案)。但这些都对我没有帮助。

我有一个后缀服务器(debian 10 上的后缀 3.4.14)具有以下配置(仅有趣的部分):

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_exclude_ciphers = aNULL, LOW, EXP, MEDIUM, ADH, AECDH, MD5, DSS, ECDSA, 
    CAMELLIA128, 3DES, CAMELLIA256, RSA+AES, eNULL
smtp_tls_exclude_ciphers = aNULL, LOW, EXP, MEDIUM, ADH, AECDH, MD5, DSS, ECDSA, 
    CAMELLIA128, 3DES, CAMELLIA256, RSA+AES, eNULL
tls_preempt_cipherlist = yes
tls_high_cipherlist = !aNULL:!eNULL:!CAMELLIA:HIGH:@STRENGTH

如果我使用 openssl 检查配置,我会得到(请注意,我使用“xxxxxx.de”使域名无法识别):

#> openssl s_client -connect xxxxxx.de:25 -starttls smtp
CONNECTED(00000003)
depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = xxxxxx.de
verify return:1
---
Certificate chain
 0 s:/CN=xxxxxx.de
   i:/C=US/O=Let's Encrypt/CN=R3
 1 s:/C=US/O=Let's Encrypt/CN=R3
   i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
 2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIFRjCCBC6gAwIBAgISA6SNmc1MPKtxwSiNNKEvxc/EMA0GCSqGSIb3DQEBCwUA
MDIxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MQswCQYDVQQD
...
...
...
VG2iG8sEGCcgG4w1LnWTO4tMlCYFE+tcXxAfE/7pB/VjmvRZlLCypanuwBzVRw5W
bPwabUtCMRDrRlT8wI9UHAhQYTb5Hhm0F0u1hi6e/7fybK6tuFnPpWs/vgT3Z4Fj
2onoaTHk/rKlhQ==
-----END CERTIFICATE-----
subject=/CN=xxxxxx.de
issuer=/C=US/O=Let's Encrypt/CN=R3
---
No client certificate CA names sent
Peer signing digest: SHA256
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 4950 bytes and written 450 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: B20E725616C98083988847B90FB42BFDCAEED745129C53E79E723692C641F6F5
    Session-ID-ctx: 
    Master-Key: A3D2C497E11E47C6260C119E47DC3B4CAA119485EAFA5BCF6CDA882F115D80E78960C802A48E375DAA293A3A2C1DAE35
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    0000 - ec 40 39 d6 f4 94 ac 7b-d8 f8 ef 94 98 62 d7 35   .@9.........b.5
    0010 - de fb c3 f5 f3 b1 3a d1-24 3e 62 57 fb 06 56 eb   ......:.$>bW..V.
    0020 - 84 61 2a 0d 30 7d 9f ac-70 e7 a8 a3 23 4a c6 57   .a*.0..p...#J.W
    0030 - dc 21 7c d3 5d f4 e8 14-c5 4c 18 da 35 1d 32 49   .!|.]....L..5.2I
    0040 - f0 19 de 75 77 22 25 f9-74 4d a2 47 39 0d ce 75   ...uw"%.tM.G9..u
    0050 - 0a 04 41 85 0d 67 05 fe-a4 09 ec 72 4b a5 ad f4   ..A..g.....rK...
    0060 - 8b 73 a2 a3 2e 28 46 b8-2a 60 4b ed ce 75 09 fb   .s...(F.*`K..u..
    0070 - ef 95 e3 e2 6e 6a 90 bd-9e 46 e8 c9 aa 52 c3 ae   ....nj...F...R..
    0080 - 72 6f 9f 37 fd 6c 12 e9-bb 60 83 c6 c4 44 ca 85   ro.7.l...`...D..
    0090 - cb ee 1d bd 69 29 77 31-4f 96 d5 4d 93 8e 63 d2   ....i)w1O..M..c.

    Start Time: 1623221077
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
250 CHUNKING

这里我想知道这条线

New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384

因为后缀配置应该禁用 TLSv1/SSLv3。会不会是这个问题?

但是。在客户端,我有一个 Java 应用程序(openJDK 11.0.11),每次我会发送一封电子邮件,我都会收到:

javax.mail.MessagingException: Could not convert socket to TLS;
nested exception is:
javax.net.ssl.SSLHandshakeException: No appropriate protocol (protocol is disabled or cipher suites are inappropriate)
at com.sun.mail.smtp.SMTPTransport.startTLS(SMTPTransport.java:1907)
at com.sun.mail.smtp.SMTPTransport.protocolConnect(SMTPTransport.java:666)
at javax.mail.Service.connect(Service.java:295)
...

当然,我已经编辑了conf/security/java.security 文件。我已经将ECDHE-RSA-AES256-GCM-SHA384 添加为jdk.tls.legacyAlgorithms。这里是来自java.securtity的有趣设置:

jdk.tls.legacyAlgorithms= \
        K_NULL, C_NULL, M_NULL, \
        DH_anon, ECDH_anon, \
        RC4_128, RC4_40, DES_CBC, DES40_CBC, \
        3DES_EDE_CBC, ECDHE-RSA-AES256-GCM, ECDHE-RSA-AES256-GCM-SHA384

jdk.certpath.disabledAlgorithms=MD2, MD5, SHA1 jdkCA & usage TLSServer, \
    RSA keySize < 1024, DSA keySize < 1024, EC keySize < 224, \
    include jdk.disabled.namedCurves

jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA, \
    DH keySize < 1024, EC keySize < 224, 3DES_EDE_CBC, anon, NULL, \
    include jdk.disabled.namedCurves

可能是我瞎了,但我看不出我的问题出在哪里......

编辑

好的,起初我已经从jdk.tls.legacyAlgorithms 中删除了我的扩展,因为这没有帮助而且是错误的(感谢 dave_thompson_085 的提示)。

这是用于发送电子邮件的 Java 代码(该代码具有“很长”的历史,所以请不要想知道为什么使用 Vector 而不是 ArrayList 左右......)

    // create some properties and get the default Session
    Properties props = new Properties();
    props.put("mail.smtp.host", smtpServer);
    props.put("mail.smtp.port", "25");
    props.put("mail.debug", "true");

    // SMTP AUTH?
    Session session;
    if (username != null && pwd != null && username.length() > 0 && pwd.length() > 0) 
      props.put("mail.smtp.auth", "true");
//      props.put("mail.smtp.user", username);
//      props.put("mail.password", pwd);
      
      // if SMTP AUTH: use in every case TLS!
      tls = true;
      
      session = Session.getInstance(props, new MyPasswordAuthenticator(username, pwd));
     else 
      session = Session.getDefaultInstance(props, null);
    
    
    // TLS?
    if (tls) 
      props.put("mail.smtp.starttls.enable", "true");
//      props.put("mail.smtp.tls", "true");
    

    // create a message
    SMTPMessage mimeMsg = new SMTPMessage(session);
  
    InternetAddress addressFrom = new InternetAddress(sender);
    mimeMsg.setFrom(addressFrom);
    mimeMsg.setEnvelopeFrom(sender);
  
    // set recipients ...
    InternetAddress[] tos = new InternetAddress[receivers.size()];
    int i = 0;
    for (String addr : receivers) 
      tos[i++] = new InternetAddress(addr, extractPersonalNameFromEMailAddr(addr));
    

    // set cc recipients ...
    InternetAddress[] ccAddrs = new InternetAddress[0];
    if (ccs != null) 
      ccAddrs = new InternetAddress[ccs.size()];
      
      i = 0;
      for (String addr : ccs)  
        ccAddrs[i++] = new InternetAddress(addr, extractPersonalNameFromEMailAddr(addr));
      
    

    mimeMsg.setRecipients(Message.RecipientType.TO, tos);
    mimeMsg.setRecipients(Message.RecipientType.CC, ccAddrs);

    // set return notifications
    if (readNotificationRequest) 
      String notifyAddr = replyTo;
      if (notifyAddr == null || notifyAddr.trim().length() == 0) notifyAddr = sender;
      
      mimeMsg.addHeader("Disposition-Notification-To", "<" + notifyAddr + ">");
      mimeMsg.addHeader("Return-Receipt-To", "<" + notifyAddr + ">");
    
    
    mimeMsg.addHeader("Date", mailDateFormat.format(new Date()));
  
    mimeMsg.setNotifyOptions(deliverNotificationRequest);
    mimeMsg.setReturnOption(deliverNotificationContent);

    if (replyTo != null) 
      Address[] replyToAddrs = new Address[1];
      replyToAddrs[0] = new InternetAddress(this.replyTo);
      
      mimeMsg.setReplyTo(replyToAddrs);
      mimeMsg.setFrom(replyToAddrs[0]);
    
    
    mimeMsg.setSentDate(new Date());
    mimeMsg.setSubject(subject);
//    mimeMsg.setContent(msg, msgType);
  
    // set the text content:
    MimeBodyPart msgPart = new MimeBodyPart();
    msgPart.setContent(msg, msgType + "; charset=" + charset);
    
    Multipart multipart = new MimeMultipart();
    multipart.addBodyPart(msgPart);
    
    // add the attachments:
    String attFile;
    MimeBodyPart attachment;
    Iterator<String> it = new Vector<String>(attachments).iterator();
    
    while (it.hasNext()) 
      attFile = it.next();
      
      attachment = new MimeBodyPart();
      attachment.setDataHandler(new DataHandler(new AppOctetStreamFileDataSource(attFile)));
      attachment.setFileName(FileUtil.extractFilename(attFile));

      multipart.addBodyPart(attachment);
    
    
    mimeMsg.setContent(multipart);

    System.out.println("mail.smtp.ssl.trust: <<" + System.getProperty("mail.smtp.ssl.trust") + ">>");
    System.out.println("mail.smtp.ssl.socketfactory.class: <<" + System.getProperty("mail.smtp.ssl.socketfactory.class") + ">>");
    System.out.println("mail.smtp.socketfactory.class: <<" + System.getProperty("mail.smtp.socketfactory.class") + ">>");
    System.out.println("mail.smtp.ssl.protocols: <<" + System.getProperty("mail.smtp.ssl.protocols") + ">>");
    System.out.println("mail.smtp.ssl.ciphersuites: <<" + System.getProperty("mail.smtp.ssl.ciphersuites") + ">>");
    System.out.println("SSLContext.getDefault().getDefaultSSLParameters().getProtocols(): "
            + Arrays.toString(SSLContext.getDefault().getDefaultSSLParameters().getProtocols()));
    System.out.println("Arrays.toString(SSLContext.getDefault().getDefaultSSLParameters().getCipherSuites(): "
            + Arrays.toString(SSLContext.getDefault().getDefaultSSLParameters().getCipherSuites()));

    session.setDebug(debug);
    Transport transport = session.getTransport("smtp");
    transport.connect(smtpServer, 25, username, pwd);
//System.out.println("#########" + System.getProperty("mail.smtp.localhost"));

    transport.sendMessage(mimeMsg, mimeMsg.getAllRecipients());

    transport.close();

为了调试,我添加了一些 System.out 来输出一些有趣的值。

这里是stdout 输出:

DEBUG: JavaMail version 1.4.7
DEBUG: successfully loaded resource: /META-INF/javamail.default.providers
DEBUG: Tables of loaded providers
DEBUG: Providers Listed By Class Name: com.sun.mail.smtp.SMTPSSLTransport=javax.mail.Provider[TRANSPORT,smtps,com.sun.mail.smtp.SMTPSSLTransport,Oracle], com.sun.mail.smtp.SMTPTransport=javax.mail.Provider[TRANSPORT,smtp,com.sun.mail.smtp.SMTPTransport,Oracle], com.sun.mail.imap.IMAPSSLStore=javax.mail.Provider[STORE,imaps,com.sun.mail.imap.IMAPSSLStore,Oracle], com.sun.mail.pop3.POP3SSLStore=javax.mail.Provider[STORE,pop3s,com.sun.mail.pop3.POP3SSLStore,Oracle], com.sun.mail.imap.IMAPStore=javax.mail.Provider[STORE,imap,com.sun.mail.imap.IMAPStore,Oracle], com.sun.mail.pop3.POP3Store=javax.mail.Provider[STORE,pop3,com.sun.mail.pop3.POP3Store,Oracle]
DEBUG: Providers Listed By Protocol: imaps=javax.mail.Provider[STORE,imaps,com.sun.mail.imap.IMAPSSLStore,Oracle], imap=javax.mail.Provider[STORE,imap,com.sun.mail.imap.IMAPStore,Oracle], smtps=javax.mail.Provider[TRANSPORT,smtps,com.sun.mail.smtp.SMTPSSLTransport,Oracle], pop3=javax.mail.Provider[STORE,pop3,com.sun.mail.pop3.POP3Store,Oracle], pop3s=javax.mail.Provider[STORE,pop3s,com.sun.mail.pop3.POP3SSLStore,Oracle], smtp=javax.mail.Provider[TRANSPORT,smtp,com.sun.mail.smtp.SMTPTransport,Oracle]
DEBUG: successfully loaded resource: /META-INF/javamail.default.address.map
mail.smtp.ssl.trust: <<null>>
mail.smtp.ssl.socketfactory.class: <<null>>
mail.smtp.socketfactory.class: <<null>>
mail.smtp.ssl.protocols: <<null>>
mail.smtp.ssl.ciphersuites: <<null>>
SSLContext.getDefault().getDefaultSSLParameters().getProtocols(): [TLSv1.3, TLSv1.2]
Arrays.toString(SSLContext.getDefault().getDefaultSSLParameters().getCipherSuites(): [TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_DSS_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_DSS_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384, TLS_DHE_RSA_WITH_AES_256_CBC_SHA256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256, TLS_DHE_RSA_WITH_AES_128_CBC_SHA256, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDH_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_EMPTY_RENEGOTIATION_INFO_SCSV]

还有stderr:

javax.net.ssl|DEBUG|01|main|2021-06-10 08:28:39.042 CEST|SSLCipher.java:438|jdk.tls.keyLimits: entry = AES/GCM/NoPadding KeyUpdate 2^37. AES/GCM/NOPADDING:KEYUPDATE = 137438953472
javax.net.ssl|ERROR|01|main|2021-06-10 08:28:39.306 CEST|TransportContext.java:341|Fatal (HANDSHAKE_FAILURE): Couldn't kickstart handshaking (
"throwable" : 
javax.net.ssl.SSLHandshakeException: No appropriate protocol (protocol is disabled or cipher suites are inappropriate)
at java.base/sun.security.ssl.HandshakeContext.(HandshakeContext.java:170)
at java.base/sun.security.ssl.ClientHandshakeContext.(ClientHandshakeContext.java:98)
at java.base/sun.security.ssl.TransportContext.kickstart(TransportContext.java:221)
at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:433)
at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:411)
at com.sun.mail.util.SocketFetcher.configureSSLSocket(SocketFetcher.java:549)
at com.sun.mail.util.SocketFetcher.startTLS(SocketFetcher.java:486)
at com.sun.mail.smtp.SMTPTransport.startTLS(SMTPTransport.java:1902)
at com.sun.mail.smtp.SMTPTransport.protocolConnect(SMTPTransport.java:666)
at javax.mail.Service.connect(Service.java:295)
at com.coco_on.tools.general.useCases.net.UCSendEMail.start(UCSendEMail.java:470)
at com.tetrixSystems.tHiddenExecuter.Executer.start(Executer.java:233)
at com.tetrixSystems.tHiddenExecuter.UCMain.start(UCMain.java:83)
at com.tetrixSystems.tHiddenExecuter.UCMain.main(UCMain.java:49)

)
javax.net.ssl|DEBUG|01|main|2021-06-10 08:28:39.306 CEST|SSLSocketImpl.java:1638|close the underlying socket
javax.net.ssl|DEBUG|01|main|2021-06-10 08:28:39.306 CEST|SSLSocketImpl.java:1657|close the SSL connection (initiative)
javax.mail.MessagingException: Could not convert socket to TLS;
nested exception is:
javax.net.ssl.SSLHandshakeException: No appropriate protocol (protocol is disabled or cipher suites are inappropriate)
at com.sun.mail.smtp.SMTPTransport.startTLS(SMTPTransport.java:1907)
at com.sun.mail.smtp.SMTPTransport.protocolConnect(SMTPTransport.java:666)
at javax.mail.Service.connect(Service.java:295)
at com.coco_on.tools.general.useCases.net.UCSendEMail.start(UCSendEMail.java:470)
at com.tetrixSystems.tHiddenExecuter.Executer.start(Executer.java:233)
at com.tetrixSystems.tHiddenExecuter.UCMain.start(UCMain.java:83)
at com.tetrixSystems.tHiddenExecuter.UCMain.main(UCMain.java:49)
Caused by: javax.net.ssl.SSLHandshakeException: No appropriate protocol (protocol is disabled or cipher suites are inappropriate)
at java.base/sun.security.ssl.HandshakeContext.(HandshakeContext.java:170)
at java.base/sun.security.ssl.ClientHandshakeContext.(ClientHandshakeContext.java:98)
at java.base/sun.security.ssl.TransportContext.kickstart(TransportContext.java:221)
at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:433)
at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:411)
at com.sun.mail.util.SocketFetcher.configureSSLSocket(SocketFetcher.java:549)
at com.sun.mail.util.SocketFetcher.startTLS(SocketFetcher.java:486)
at com.sun.mail.smtp.SMTPTransport.startTLS(SMTPTransport.java:1902)
... 6 more

在 postfix 服务器端安装了 openssl 1.1.1:

#> openssl version
OpenSSL 1.1.1d  10 Sep 2019

我不相信 java 在内部使用 openssl,但客户端 openssl 版本(CentOS/RHEL 7)可能也很有趣:

#> openssl version
OpenSSL 1.0.2k-fips  26 Jan 2017

【问题讨论】:

【参考方案1】:

在这里我想知道 [in s_client] 新,TLSv1/SSLv3,密码为 ECDHE-RSA-AES256-GCM-SHA384

您显然使用的是 OpenSSL 1.0.2,这基本上是无用的遗物。早在 OpenSSL 支持 SSLv2 的日子里(主要是到 2010 年,虽然在 2000 年之后几乎没有人使用它),用于 SSLv3 及更高版本的密码套件值(包括所有 TLS,但在 2014 年之前 OpenSSL 没有实现高于 TLS1.0 ) 的结构与用于 SSLv2 的结构不同,因此通过它存在的“宇宙”来限定密码套件非常重要。它与实际使用的协议版本几乎无关,后者出现在会话参数解码的后面:

SSL-Session:
    Protocol  : TLSv1.2
...

-- 虽然你已经从密码中知道了这一点,因为 ECDHE-RSA-AES256-GCM-SHA384 不能用于除 TLS1.2 之外的任何协议版本。

在 OpenSSL 1.1.0 以上版本中,重新设计了协议状态机,除其他外,该字段已更改为显示与密码套件兼容的最低协议版本,这不再完全无用,但仍可能与实际有所不同使用的协议。

在任何情况下,您的异常发生在 JSSE 客户端甚至将 ClientHello 发送到服务器以开始握手之前,因此物理上不可能由服务器中的任何错误引起。 相反,它是由(Java)客户端上的编码或配置错误引起的,您几乎没有提供任何信息。

使用 sysprop javax.net.debug=ssl:handshake 运行它可能会有所帮助,尽管此问题发生得较早,并且可能在任何有用的可追溯之前。

确保您没有将 sysprops mail.smtp.ssl.protocols,ciphersuites 设置为不合适的内容。参见例如com.sun.mail.util.SocketFetcher.configureSSLSocket 和 Docker Container javax.mail.MessagingException: No appropriate protocol (protocol is disabled or cipher suites are inappropriate); 以及那里的链接。 还要检查mail.smtp.ssl.trust mail.smtp.ssl.socketfactory.class mail.smtp.socketfactory.class 的任何设置,以及更改SSLSocketFactory 默认值的任何代码,以及可能(编辑)对SSLContext 默认值的更改,即在您尝试连接的点处或附近javamail 打印或以其他方式获取Arrays.toString(SSLContext.getDefaultSSLParameters().getProtocols())getCipherSuites

EDIT2:取决于版本。低于 1.5.3 (2015-04-15) 的旧 Sun/Oracle(即 Jakarta 之前)版本具有默认值(如果未配置 mail.smtp.ssl.protocols)HARDCODED to TLSv1 meaning 1.0 ONLY。因此,连接将失败,并在禁用了 TLS1.0 的 Java 上出现 Q 异常,就像安装时 11.0.11 一样,还有 16.0.0 up 和 8u291(可能是 up)。在没有禁用 TLS1.0 的 Java 实例上,它会尝试连接,但是如果服务器拒绝 TLS1.0(本 Q 中的那个应该),连接仍然会失败并出现不同的异常。

我已经将 ECDHE-RSA-AES256-GCM-SHA384 添加为 jdk.tls.legacyAlgorithms。

那是倒退。遗留算法是您不喜欢使用并且仅作为后备接受的算法;该密码套件是目前可用的最好的密码套件之一,应该是首选(默认情况下,因此您不应更改它)。另外,虽然文件中的 doc 和 cmets 没有明确说明这一点,但遗留约束无论如何都只适用于服务器端——因为那是密码套件选择和 1.3 相关算法选择完成的地方。

【讨论】:

谢谢。我已经编辑了我的问题并添加了更多详细信息 Steffen: (1) 正如我所担心的那样,JSSE 跟踪没有帮助 (2) 你检查了 3 个 sysprops 但没有检查其他 2 个 (3) 我被提醒 SSLSocketFactory 没有自己的默认,所以我们不需要检查,但是 SSLContext 需要检查,所以请检查 -- 见编辑 (4) Java 不使用 openssl,但是当你在 openssl s_client您使用 OpenSSL 1.0.2 的客户端机器,这就是我要解释的内容 为了不让我的问题变得太长,我只更新了我的编辑部分(而不是添加一个新的编辑部分)。 To (4): 是的,你是对的。当我从命令行调用 openssl 时,“TLSv1/SSLv3”输出即将到来(与 java 无关):-) 好吧,我现在很困惑——没有设置 sysprops 并且那些 JSSE 默认的 AFAICS 它应该可以工作。我目前没有可以调试的环境;我会设置一个,但可能需要一段时间。如果有问题,请确定您使用的 javamail 版本。 我有另一个想法可能是问题所在。邮件服务器的letsencrypt证书可能会发生任何变化。我将重新尝试将letsencrypt的根证书添加到信任库中并再次检查。但我也不确定我是否可以在接下来的几天内做到这一点(因为在私人和其他商业项目中存在一些时间问题......):但是,如果在 Java 中某些 SSL 加密失败,我希望有更多的错误细节。目前它就像错误消息“任何错误”...... :-(【参考方案2】:

JavaMail 从 1.4.7 升级到 1.6.2 后,错误消失了!我确信还有其他客户端使用 JavaMail 1.4.7 并且可以正常工作。所以那台机器上肯定还有另一个区别。但是,现在它可以工作了!

非常感谢 dave_thompson_085。你指出我正确的方式:-)。我认为你的回答对其他有同样问题的人来说是一个很好的指导(我可以检查哪些属性等等)。

【讨论】:

其他使用旧 javamail 的客户端连接到仅允许 TLS1.2 和 1.3 的服务器?你确定吗?您能否使用 javax.net.debug 或诸如 wireshark 之类的外部跟踪来确认 ServerHello 中的协议是什么? @dave_thompson_085:我找到了另一个使用 JavaMail 1.4.7 的客户端,你是对的。该错误也存在(但由于“...> /dev/null 2>&1” arrgh!没有报告)。但是我发现了另外两个客户端,JavaMail 1.3 像它一样存储在 jar 的清单中(哦,他妈的,太旧了!!!)。在那个客户上它可以工作! javax.net.debug 属性不起作用(可能在 1.3 中没有实现...)。在更新 JavaMail 之前,我将尝试创建(可能是明天)一个 tcpdump javax.net.debug 位于 JRE(特别是 JSSE)而不是 Javamail 中——尽管旧的 JRE 写入 stdout 而新的 JRE 写入 stderr,这可能会对捕获它产生影响。 AFAICS Javamail 的在线存储库不会回到 1.3,但我可以想象旧的东西根本不做 SSL/TLS 或至少 STARTTLS。 今天我也遇到了这个问题,在最近的 Java 8 JRE 上运行 javax.mail 1.4.7。完全相同的代码在另一台具有较新的 Java 8 JRE 和相同的 1.4.7 JavaMail JAR 的服务器上运行良好。正如您所建议的,我通过升级到 JavaMail 1.6.7 在第一个系统上修复了这个问题。然后我也升级了另一台服务器,所以现在应用程序在两台服务器上都使用 JavaMail 1.6.7 成功运行。也许在最近的 Java 8 版本中发生了一些变化,这些版本通过一些 SMTP 服务器破坏了 JavaMail 1.4.7... 为我工作(至少在找到 java.mail 的旧 Oracle 版本的正确替代品之后)。我终于用了:com.sun.mail / jakarta.mail Verison 1.6.7【参考方案3】:

我在使用 jdk 11 时遇到了同样的问题。但我通过在 java.security 文件中注释这一行来解决它。

jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA, 
    DH keySize < 1024, EC keySize < 224, 3DES_EDE_CBC, anon, NULL, 
    include jdk.disabled.namedCurves

【讨论】:

当我在我的 Linux 机器上运行带有开放式 JDK 11 安装的应用程序时,这个答案对我有帮助 这个答案在我尝试使用 JDBC 驱动程序让 Elasticsearch 与 SQL Server 实例一起工作时帮助了我。 用于1.8.0_301 这解决了我的问题。我的文件路径是/usr/lib/jvm/java-11-openjdk-amd64/conf/security/java.security 调整这些设置可能存在安全风险,但至少您可以让“旧”库再次运行。如果您无法更新旧的遗留代码,请将其视为解决方法。至少你可以更新java版本。【参考方案4】:

就我而言,postfix 支持 TLSv1、TLSv1.1、TLSv1.2 和 TLSv1.3。 我准备了一些测试,使用不同的 OpenJDK。

使用 OpenJDK 11.0.9 (2020-10-20) 我能够毫无例外地发送电子邮件

使用 OpenJDK 11.0.10 (2021-01-19) 我能够毫无例外地发送电子邮件

使用 OpenJDK 11.0.11 (2021-04-20) 我遇到了异常,

SSLHandshakeException: 没有合适的协议(协议被禁用或密码套件不合适)

使用 OpenJDK 11.0.12 (2021-07-20) 我遇到了同样的异常,

SSLHandshakeException: 没有合适的协议(协议被禁用或密码套件不合适)

就我而言,问题的原因是 OpenJdk 需要 TLSv1.2 或 TLSv1.3,从版本 11.0.11 开始。 更新:根据 Oracle reference 发布的 JRE 和 JDK Crypto Roadmap,该更改将至少适用于 OpenJDK 8u292 及更高版本、OpenJDK 11.0.11 及所有版本的 OpenJDK 16。

如何解决问题,

    回到 OpenJDK 11.0.10,你可以找到二进制文件here。更多 OpenJDK 版本here. (首选) 将 TLS 版本设置为 TLSv1.2 以发送电子邮件。在配置 Java smtp 客户端之前,您可以通过设置如下所示的系统属性来实现。

System.setProperty("mail.smtp.ssl.protocols", "TLSv1.2");

我在初始化 htmlEmail 对象之前使用 apache commons email 并设置了上述属性,我能够使用当前的 OpenJdk 版本 11.0.12 发送。

在任何情况下你都使用pop3 Java 客户端,那里也一样,

System.setProperty("mail.pop3s.ssl.protocols", "TLSv1.2");

【讨论】:

【参考方案5】:

通过将其添加到我的连接字符串中,我摆脱了上述异常。

jdbc:mysql://localhost:3306/Peoples?autoReconnect=true&useSSL=false

【讨论】:

谢谢@Usama。我的同事说“他真的救了我的命”。我代表他发表评论,因为他没有足够的声誉来发表评论。 不客气:D 禁用 SSL 会带来安全风险。这是一种解决方法,而不是解决方案

以上是关于postfix 和 openJDK 11:“没有合适的协议(协议被禁用或密码套件不合适)”的主要内容,如果未能解决你的问题,请参考以下文章

OpenJDK 11 的来源(包括错误/安全修复版本)

错误:缺少 JavaFX 运行时组件 - JavaFX 11 和 OpenJDK 11 以及 Eclipse IDE

Linux编译openjdk11源码

javax.imageio.IIOException:无法在 Tomcat 9、OpenJDK 11 和 Geoserver 中创建 ImageInputStream

openjdk1.8还维护吗

SUS系统 postfix邮箱设置