не работает ssl_min_protocol

Serg

Случайный прохожий
Доброго времени суток!

CentOS Linux release 8.5.2111
Dovecot v2.3.8

Как сделать что бы dovecot поддерживал TLSv1 или TLSv1.1 для POP3s (TCP 995). Я установил параметр ssl_min_protocol = TLSv1 в обоих файлах здесь:
/etc/dovecot/dovecot.conf
/etc/dovecot/conf.d/10-ssl.conf


Но они как-будто игнорируются и не работают:

Код:
# openssl s_client -connect localhost:995 -tls1
CONNECTED(00000003)
write:errno=0
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 125 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1640732659
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---

TLSv1.2 and TLSv1.3 works as expected. Config files are:
dovecot.conf:
listen = *,[::]
protocols = imap pop3 lmtp sieve
auth_mechanisms = plain login
disable_plaintext_auth = no
log_timestamp = "%Y-%m-%d %H:%M:%S "
mail_privileged_group = vmail
ssl_cert = </etc/postfix/smtpd.cert
ssl_key = </etc/postfix/smtpd.key
ssl_min_protocol = TLSv1
ssl_cipher_list = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-C
HACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
ssl_prefer_server_ciphers = no
mail_plugins = quota
...

conf.d/10-ssl.conf
ssl = required
ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
ssl_key = </etc/pki/dovecot/private/dovecot.pem
ssl_dh = </etc/dovecot/dh.pem
ssl_min_protocol = TLSv1
ssl_cipher_list = PROFILE=SYSTEM
ssl_prefer_server_ciphers = yes


Подскажите что можно еще попробовать?
 
TLSv1 отключен на системном уровне, поскольку он небезопасен и устарел.
Да и зачем он нужен для POP3. Если у вас есть старые почтовые клиенты, то может проще обновить их до новых версий?
Если все же очень надо включить TLSv1 то сюда
 
Назад
Верх