Hallo,
derzeit wird ja überall empfohlen SSLv3 abzuschalten, wegen Sicherheitslücken. Das scheint meinem Postfix aber nicht gut zu bekommen:
Oct 20 09:34:08 s2 postfix/smtpd[13063]: warning: TLS library problem: 13063:error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number:s3_srvr.c:965: Oct 20 09:34:08 s2 postfix/smtpd[13063]: lost connection after STARTTLS from mail02.rohde-schwarz.com[80.246.32.97] Oct 20 09:34:08 s2 postfix/smtpd[13063]: disconnect from mail02.rohde-schwarz.com[80.246.32.97]
Am 21.10.2014 um 07:54 schrieb Jochen Fahrner:
Hallo,
derzeit wird ja überall empfohlen SSLv3 abzuschalten, wegen Sicherheitslücken. Das scheint meinem Postfix aber nicht gut zu bekommen:
Oct 20 09:34:08 s2 postfix/smtpd[13063]: warning: TLS library problem: 13063:error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number:s3_srvr.c:965: Oct 20 09:34:08 s2 postfix/smtpd[13063]: lost connection after STARTTLS from mail02.rohde-schwarz.com[80.246.32.97] Oct 20 09:34:08 s2 postfix/smtpd[13063]: disconnect from mail02.rohde-schwarz.com[80.246.32.97]
mail02.rohde-schwarz.com kann nur SSLv3, der postmaster dort weiss bescheid, wenn du "may" als transport eingerichtet hast erfolgt fallback auf uncrypted transport, es gibt noch ein paar andere Server/Mail/Gateway geraete bei denen es genauso ist, hat also mit postfix nicht viel zu tun
Best Regards MfG Robert Schetterer
* Robert Schetterer rs@sys4.de:
mail02.rohde-schwarz.com kann nur SSLv3, der postmaster dort weiss bescheid,
Machen die nicht irgendwas mit Sicherheit? Mein ja nur.
Am 21.10.2014 um 09:52 schrieb Ralf Hildebrandt:
- Robert Schetterer rs@sys4.de:
mail02.rohde-schwarz.com kann nur SSLv3, der postmaster dort weiss bescheid,
Machen die nicht irgendwas mit Sicherheit? Mein ja nur.
Mehr als informieren kann man nicht, Adresse fuer Abhilfe ist dort bekannt *g
zum Thema
http://www-01.ibm.com/support/docview.wss?uid=swg27039743&aid=1
In previous versions of Domino only SSL 3.0 was supported for secure connections. Later versions such as SSL 3.1 or TLS 1.0,1.1, 1.2 were not supported ■ Applications and servers could make the initial connection to Domino using TLS but then Domino would negotiate down to SSL 3.0 ■ If they did not support negotiated handshakes or SSL 3.0 then the connection was dropped
Best Regards MfG Robert Schetterer
Am Dienstag, den 21.10.2014, 09:52 +0200 schrieb Ralf Hildebrandt:
Machen die nicht irgendwas mit Sicherheit? Mein ja nur.
Die liefern viel an die Bundeswehr. ;-)
Zitat von Joachim Fahrner jf@fahrner.name:
Am Dienstag, den 21.10.2014, 09:52 +0200 schrieb Ralf Hildebrandt:
Machen die nicht irgendwas mit Sicherheit? Mein ja nur.
Die liefern viel an die Bundeswehr. ;-)
Und früher das Crypto-Handy für die Kanzlerin, oder?
Am 21.10.2014 um 17:24 schrieb lst_hoe02@kwsoft.de:
Zitat von Joachim Fahrner jf@fahrner.name:
Am Dienstag, den 21.10.2014, 09:52 +0200 schrieb Ralf Hildebrandt:
Machen die nicht irgendwas mit Sicherheit? Mein ja nur.
Die liefern viel an die Bundeswehr. ;-)
Und früher das Crypto-Handy für die Kanzlerin, oder?
wer seine logs ab und zu verfolgt wird noch ein paar andere Kandidaten finden......
Best Regards MfG Robert Schetterer
Zitat von Jochen Fahrner jf@fahrner.name:
Hallo,
derzeit wird ja überall empfohlen SSLv3 abzuschalten, wegen Sicherheitslücken. Das scheint meinem Postfix aber nicht gut zu bekommen:
Oct 20 09:34:08 s2 postfix/smtpd[13063]: warning: TLS library problem: 13063:error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number:s3_srvr.c:965: Oct 20 09:34:08 s2 postfix/smtpd[13063]: lost connection after STARTTLS from mail02.rohde-schwarz.com[80.246.32.97] Oct 20 09:34:08 s2 postfix/smtpd[13063]: disconnect from mail02.rohde-schwarz.com[80.246.32.97]
- Die beschriebene Attacke ist zumindest zur Zeit noch sehr http spezifisch, SMTP ist nicht betroffen
- Bei öffentlichen SMTP ports macht es wenig Sinn auf Kosten der Kompatibilität irgendewelche Verfahren zu deaktivieren, weil die Alternative unverschlüsseltes SMTP ist
Sinnvoll wäre es smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 zu verwenden und auf dem Submission Port Verschlüsselung zu erzwingen.
http://www.postfix.org/postconf.5.html#smtpd_tls_mandatory_protocols
Gruß
Andi
participants (5)
-
Joachim Fahrner -
Jochen Fahrner
-
lst_hoe02@kwsoft.de -
Ralf Hildebrandt -
Robert Schetterer