# [Gelöst] Alert 21 -> Decryption failed  oder  No supported cipher suites have been found.



## etron770 (20. Mai 2019)

wie kann ich auf einem Debian Stretch Server diese Fehlermeldung beheben?
Beim Verbinden mit z.B thunderbird kommt diese Meldung

für pop3d-ssl imapd-ssl


```
openssl ciphers -s
ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA
```


----------



## etron770 (20. Mai 2019)

Der Zugriff auf den Mailserver funktionier ohne Verschlüsselung, aber nicht mit.
wie kann man die gesamte Verschlüsselung neu initalisieren, das IspConfig und Postfix wieder dem  letsencrypt Zertifikat funktionieren?


----------



## etron770 (20. Mai 2019)

Felermeldung beim Restart von postfix:

```
May 20 13:16:37 mail systemd[1]: Starting Postfix Mail Transport Agent (instance -)...
May 20 13:16:37 mail postfix/postfix-script[5554]: fatal: the Postfix mail system is already running
May 20 13:16:38 mail systemd[1]: postfix@-.service: Control process exited, code=exited status=1
May 20 13:16:38 mail systemd[1]: Failed to start Postfix Mail Transport Agent (instance -).
May 20 13:16:38 mail systemd[1]: postfix@-.service: Unit entered failed state.
May 20 13:16:38 mail systemd[1]: postfix@-.service: Failed with result 'exit-code'.
May 20 13:16:38 mail systemd[1]: postfix.service: Failed to reset devices.list: Operation not permitted
May 20 13:16:38 mail systemd[1]: Starting Postfix Mail Transport Agent...
May 20 13:16:38 mail systemd[1]: Started Postfix Mail Transport Agent.
```


----------



## etron770 (20. Mai 2019)

Wireshark anwort des Servers: Alert 21 -> Decryption failed:
Thunderbird bei dem Aufruf zum Server:

```
Frame 10: 583 bytes on wire (4664 bits), 583 bytes captured (4664 bits) on interface 0
Ethernet II, Src: AsustekC_8d:ec:02 (50:46:5d:8d:ec:02), Dst: AvmAudio_09:63:82 (e0:28:6d:09:63:82)
Internet Protocol Version 4, Src: 192.168.1.xxx, Dst: xxx.yyy.zzz.www2
Transmission Control Protocol, Src Port: 41914, Dst Port: 995, Seq: 1, Ack: 1, Len: 517
Secure Sockets Layer
    TLSv1.2 Record Layer: Handshake Protocol: Client Hello
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 512
        Handshake Protocol: Client Hello
            Handshake Type: Client Hello (1)
            Length: 508
            Version: TLS 1.2 (0x0303)
            Random: 3a4477253d6ad358911ed0f1b1005049f651b869663cabc4...
            Session ID Length: 32
            Session ID: 94d84f74b11bee46d7f5c5b66767b700f647ff68ce0ab579...
            Cipher Suites Length: 28
            Cipher Suites (14 suites)
                Cipher Suite: TLS_AES_128_GCM_SHA256 (0x1301)
                Cipher Suite: TLS_CHACHA20_POLY1305_SHA256 (0x1303)
                Cipher Suite: TLS_AES_256_GCM_SHA384 (0x1302)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)
                Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca9)
                Cipher Suite: TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)
                Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
                Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)
                Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)
                Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)
                Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
                Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)
            Compression Methods Length: 1
            Compression Methods (1 method)
            Extensions Length: 407
            Extension: server_name (len=25)
            Extension: extended_master_secret (len=0)
            Extension: renegotiation_info (len=1)
            Extension: supported_groups (len=14)
            Extension: ec_point_formats (len=2)
            Extension: SessionTicket TLS (len=0)
            Extension: status_request (len=5)
            Extension: key_share (len=107)
            Extension: supported_versions (len=9)
            Extension: signature_algorithms (len=24)
            Extension: psk_key_exchange_modes (len=2)
            Extension: padding (len=170)
```
Anwort des Servers:

```
Frame 12: 73 bytes on wire (584 bits), 73 bytes captured (584 bits) on interface 0
Ethernet II, Src: AvmAudio_09:63:82 (e0:28:6d:09:63:82), Dst: AsustekC_8d:ec:02 (50:46:5d:8d:ec:02)
Internet Protocol Version 4, Src: xxx.yyy.zzz.www, Dst: 192.168.1.xxx
Transmission Control Protocol, Src Port: 995, Dst Port: 41914, Seq: 1, Ack: 518, Len: 7
Secure Sockets Layer
    TLSv1.2 Record Layer: Alert (Level: Warning, Description: Close Notify)
        Content Type: Alert (21)
        Version: TLS 1.2 (0x0303)
        Length: 2
        Alert Message
            Level: Warning (1)
            Description: Close Notify (0)
```
Alert 21 -> Decryption failed


----------



## Strontium (20. Mai 2019)

Zitat von etron770:


> das IspConfig und Postfix wieder dem letsencrypt Zertifikat funktionieren?


Ich würde mal in der Konfigurationsdatei die Pfade zum Zertifikat überprüfen bzw. dessen Symlinks.


----------



## etron770 (20. Mai 2019)

Es war vor einiger Zeit ... da habe ich nach








						Postfix & Courier & Letsencrypt
					

First of all, create your certificates (the regular way). I created one with multiple domains: webmail.rootspirit.com, mail.rootspirit.com, smtp.rootspirit.com. In my case, as the mailserver and we…




					yeri.be
				



die Dateien   /etc/courier/imapd-ssl und  /etc/courier/pop3d-ssl angepasst
Heute waren die Letsencrypt Zertifikate abgelaufen und ich habe mich gewundert, dass sie nicht erneuert werden.
Kann ja auch nicht, weil sie zertifikate in ein File kopiert werden .
Dieses File hatte ich gelöscht, weil ich dachte es wird dann mit certbot neu erstellt.
Das ich das manuell erstellt hatte war mir irgendwie entgangen.
in der Zukunft  werde ich das mit cronjob regelmäßig erstellen lassen


----------

