alte Mail-Clients und neue Server (SSLv3?)
Hallo zusammen,
ich habe leider ein Problem mit alten Servern (Exchange 2010), Kopier-&Scan-Systemen und Mail-Clients (z.B. macOS 10.11 El Capitan) etc. Ja ich weiß das diese Systeme nicht mehr supported werden, aber sie liegen nicht in einer Verwaltung und ich hab die Kunde bereits eindringlich darauf hingewiesen.
Mein Problem ist das Sie weiterhin E-Mails versenden möchten und mit meinem aktuellen Mailserver leider nicht mehr sprechen können, ich vermute es liegt am alten Encoding von SSLv3. Jetzt möchte ich diese Kunden zumindest so gut es geht weiter versorgen, die Frage ist wie?
Der neue Mailserver hat diese Konfiguration (main.cf) https://pastebin.com/PHCsWAbU https://pastebin.com/PHCsWAbU
Die Fehlermeldung sieht so aus:
Nov 16 19:15:07 mx10 dovecot: pop3-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=217.92.555.555, lip=49.12.999.999, TLS handshaking: SSL_accept() failed: error:1420918C:SSL routines:tls_early_post_process_client_hello:version too low, session=<X4CkWz20dl7ZXEzf>
Wie macht ihr sowas? Radikal die Kunden rauswerfen? Die Konfiguration des (neuen) Mailservers aufweichen? Einen zweiten Mailserver für altes Encoding bereitstellen?
Oder habe ich eine schlechte Konfiguration? Das mag ich nicht ausschließen, wobei 95% meiner Kunden keinerlei Problem damit haben.
Danke und Gruß Frank.
Hallo Frank,
deine Postfix-TLS-Konfiguration sieht recht solide aus, der Log-Eintrag stammt aber von Dovecot, so dass ich da keinen direkten Zusammenhang herstellen kann.
Ich würde am Mailserver bei der Verbindungssicherheit keine faulen Kompromisse machen, weil davon auch die Kunden mit aktuellen Clients beeinträchtigt werden könnten und das würde ich nicht wollen. Radikal alte Systeme rauszuwerfen halte ich allerdings ebenfalls nicht für ideal, denn wer will schon Kunden verlieren?
Wenn es also möglich ist, nutze Option drei und richte für die Altsysteme einen anderen Server ein, der auch noch schwächere Ciphers oder gar SSLv3 *grusel* spricht. Eventuell kannst du einfach stunnel oder nginx als Reverse-Proxy verwenden, der dann die Verbindung zum Mailserver beispielsweise mit TLSv1.2 und ECDHE aufbaut. Das hat den Vorteil, dass die Verbindungen der Kunden mit aktuellen Clients auch nach aktuellen Sicherheitsstandards geschützt sind. Nur die Verbindungen von antiken Systemen können eventuell kompromittiert werden, aber diese Kunden interessieren sich ja sowieso nicht dafür, sonst würden sie diese Systeme nicht mehr ans Internet lassen. ;-)
Exchange 2010 kann übrigens TLSv1.2 und ECDHE-Ciphers, wenn man das Betriebssystem auf den aktuellen Patchlevel bringt und das Ganze dann in der Registry aktiviert. Bei Microsoft gibt es Hinweise dazu - das aber nur am Rande.
Grüße, Jonny
Am 25.11.2020 um 17:43 schrieb "Frank J. Dürring":
Hallo zusammen,
ich habe leider ein Problem mit alten Servern (Exchange 2010),
https://docs.microsoft.com/de-de/microsoft-365/enterprise/exchange-2010-end-...
Exchange Server 2010 hat am 13. Oktober 2020das Ende der Unterstützung erreicht
ist natuerlich ein bekanntes Problem, du kannst natuerlich einen Workaround finden, aber wenn du jemand dis Schmerzen nimmst wird er es hinausschieben....
Kopier-&Scan-Systemen und Mail-Clients (z.B. macOS 10.11 El Capitan) etc. Ja ich weiß das diese Systeme nicht mehr supported werden, aber sie liegen *nicht* in einer Verwaltung und ich hab die Kunde bereits eindringlich darauf hingewiesen.
Mein Problem ist das Sie weiterhin E-Mails versenden möchten und mit meinem aktuellen Mailserver leider nicht mehr sprechen können, ich vermute es liegt am alten Encoding von SSLv3. Jetzt möchte ich diese Kunden zumindest so gut es geht weiter versorgen, die Frage ist wie?
Der neue Mailserver hat diese Konfiguration (*main.cf)* https://pastebin.com/PHCsWAbU https://pastebin.com/PHCsWAbU
Die Fehlermeldung sieht so aus:
Nov 16 19:15:07 mx10 dovecot: pop3-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=217.92.555.555, lip=49.12.999.999, TLS handshaking: SSL_accept() failed: error:1420918C:SSL routines:tls_early_post_process_client_hello:version too low, session=<X4CkWz20dl7ZXEzf>
Wie macht ihr sowas?
- Radikal die Kunden rauswerfen?
- Die Konfiguration des (neuen) Mailservers aufweichen?
- Einen zweiten Mailserver für altes Encoding bereitstellen?
Oder habe ich eine schlechte Konfiguration? Das mag ich nicht ausschließen, wobei 95% meiner Kunden keinerlei Problem damit haben.
Danke und Gruß Frank.
Hallo.
On 25.11.20 17:43, "Frank J. Dürring" wrote:
Hallo zusammen,
ich habe leider ein Problem mit alten Servern (Exchange 2010), Kopier-&Scan-Systemen und Mail-Clients (z.B. macOS 10.11 El Capitan) etc. Ja ich weiß das diese Systeme nicht mehr supported werden, aber sie liegen *nicht* in einer Verwaltung und ich hab die Kunde bereits eindringlich darauf hingewiesen.
Mein Problem ist das Sie weiterhin E-Mails versenden möchten und mit meinem aktuellen Mailserver leider nicht mehr sprechen können, ich vermute es liegt am alten Encoding von SSLv3. Jetzt möchte ich diese Kunden zumindest so gut es geht weiter versorgen, die Frage ist wie?
Der neue Mailserver hat diese Konfiguration (*main.cf)* https://pastebin.com/PHCsWAbU https://pastebin.com/PHCsWAbU
Die Fehlermeldung sieht so aus:
Nov 16 19:15:07 mx10 dovecot: pop3-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=217.92.555.555, lip=49.12.999.999, TLS handshaking: SSL_accept() failed: error:1420918C:SSL routines:tls_early_post_process_client_hello:version too low, session=<X4CkWz20dl7ZXEzf>
Wie macht ihr sowas?
- Radikal die Kunden rauswerfen?
- Die Konfiguration des (neuen) Mailservers aufweichen?
- Einen zweiten Mailserver für altes Encoding bereitstellen?
Ich würde einen HAProxy davor setzten für diese Kunden unter einem eigenen Namen z. B. oldmail.DOMAIN. Dort kann man dann eine "alte konfig" einsetzten und sobald die Kunden das nicht mehr brauchen kann man das abbauen.
https://wiki2.dovecot.org/HAProxy https://www.haproxy.com/blog/efficient-smtp-relay-infrastructure-with-postfi...
Oder habe ich eine schlechte Konfiguration? Das mag ich nicht ausschließen, wobei 95% meiner Kunden keinerlei Problem damit haben.
Danke und Gruß Frank.
Jm2c
LG Aleks
Hallo,
* "Frank J. Dürring" frank.duerring@condero.com:
Hallo zusammen,
ich habe leider ein Problem mit alten Servern (Exchange 2010), Kopier-&Scan-Systemen und Mail-Clients (z.B. macOS 10.11 El Capitan) etc. Ja ich weiß das diese Systeme nicht mehr supported werden, aber sie liegen nicht in einer Verwaltung und ich hab die Kunde bereits eindringlich darauf hingewiesen.
Mein Problem ist das Sie weiterhin E-Mails versenden möchten und mit meinem aktuellen Mailserver leider nicht mehr sprechen können, ich vermute es liegt am alten Encoding von SSLv3. Jetzt möchte ich diese Kunden zumindest so gut es geht weiter versorgen, die Frage ist wie?
ich handle nach diesem (alten) Motto: „Be liberal in what you accept and conservative in what you send.“
Diesem Motto folgend würde ich SSLv3 auf Seite des Postfix smtpd-Servers akkzeptieren und auf Seite des Postfix smtp-Clients TLSv1.1+ fahren.
Wenn Du dann noch Probleme mit Zielen, die kein TLSv1.1+ anbieten, kannst Du mit smtp_tls_policy_maps fallweise gezielt Ausnahmen gestatten.
Der neue Mailserver hat diese Konfiguration (main.cf) https://pastebin.com/PHCsWAbU https://pastebin.com/PHCsWAbU
Die Fehlermeldung sieht so aus:
Nov 16 19:15:07 mx10 dovecot: pop3-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=217.92.555.555, lip=49.12.999.999, TLS handshaking: SSL_accept() failed: error:1420918C:SSL routines:tls_early_post_process_client_hello:version too low, session=<X4CkWz20dl7ZXEzf>
Wie macht ihr sowas? Radikal die Kunden rauswerfen? Die Konfiguration des (neuen) Mailservers aufweichen? Einen zweiten Mailserver für altes Encoding bereitstellen?
Als workaround siehe oben und dann würde ich eine Sundown-Phase ankündigen und den Kunden so ausreichend Zeit geben, ihre Server an die neuen Policies/Standards anzupassen.
Damit das auch klappt, würde ich denen in der Benachrichtigung auch gleich Links mit Verweisen auf Updates/Upgrades senden, damit sie loslegen können.
Oder habe ich eine schlechte Konfiguration?
Deine Config kontrolliert die Aussenwelt, aber nicht die Deine. Damit meine ich, Du legst den anderen Bedingungen auf zu denen sie Einliefern dürfen, aber selbst sieht Deine TLS Policy keine Anpassung an TLS-Standards der Gegenwart für den smtp-Client vor.
Ich persönlich würde es, wie oben beschrieben, genau andersrum machen und den Teil der Welt kontrollieren auf den ich selbst unmittelbar Einfluss nehmen kann.
Das mag ich nicht ausschließen, wobei 95% meiner Kunden keinerlei Problem damit haben.
Es sind immer die Ausnahmen, welche die Arbeit machen. ;-)
p@rick
Danke und Gruß Frank.
participants (5)
-
"Frank J. Dürring" -
Alex -
Jonny Oschätzky -
Patrick Ben Koetter -
Robert Schetterer