[postfix-users] Forward Secrecy
Hallo,
hat jemand den Artikel "verpfuschte Verschlüsselung" in der c't gelesen?
http://www.heise.de/newsticker/meldung/Verschluesselung-bei-Mail-in-Germany-...
Wie müsste man Postfix Server und Client konfigurieren um immer die bestmögliche Verschlüsselung (je nach Gegenüber) zu verwenden?
Hat der Client da überhaupt ein Wörtchen mitzureden, oder bestimmt das immer der Server?
Am Di, 13.08.13 um 13:42:56 Uhr schrieb Jochen Fahrner via postfix-users postfix-users@de.postfix.org:
Hallo,
hat jemand den Artikel "verpfuschte Verschlüsselung" in der c't gelesen?
http://www.heise.de/newsticker/meldung/Verschluesselung-bei-Mail-in-Germany-...
Wie müsste man Postfix Server und Client konfigurieren um immer die bestmögliche Verschlüsselung (je nach Gegenüber) zu verwenden?
Hat der Client da überhaupt ein Wörtchen mitzureden, oder bestimmt das immer der Server?
Ralf hatte sich gerade woanders passend dazu aufgeregt, dass er vor über 2 Jahren mal was dazu geschrieben hat:
http://blog.arschkrebs.de/blog/ecc-in-postfix/
Grüße, Florian
* Florian Streibelt via postfix-users postfix@f-streibelt.de:
Ralf hatte sich gerade woanders passend dazu aufgeregt, dass er vor über 2 Jahren mal was dazu geschrieben hat:
Genau! Ich dachte mir damals: "Wer muss den unseren Cryptokram nachträglich entschlüsseln? Das braucht doch kein Mensch!". Und seitdem ist es an.
Am 13.08.2013 14:51, schrieb Florian Streibelt:
Ralf hatte sich gerade woanders passend dazu aufgeregt, dass er vor über 2 Jahren mal was dazu geschrieben hat:
Ich hab das jetzt mal so konfiguriert. Verbindungen von und zu Posteo.de bekommen nun den Cipher ADH-AES256-SHA. Das ist kein ECC, oder?
Brauch ich vielleicht noch ein smtpd_tls_exclude_ciphers = aNULL?
* Jochen Fahrner via postfix-users jf@fahrner.name:
Am 13.08.2013 14:51, schrieb Florian Streibelt:
Ralf hatte sich gerade woanders passend dazu aufgeregt, dass er vor über 2 Jahren mal was dazu geschrieben hat:
Ich hab das jetzt mal so konfiguriert. Verbindungen von und zu Posteo.de bekommen nun den Cipher ADH-AES256-SHA. Das ist kein ECC, oder?
Brauch ich vielleicht noch ein smtpd_tls_exclude_ciphers = aNULL?
Also ich suche so:
ECDHE (elliptic curve diffie hellman ephemeral):
# zegrep "TLS connection established from.*with cipher.*ECDHE" /var/log/OLD/2013-08-*/mail.log* | awk '{printf("%s %s %s %s\n", $12, $13, $14, $15)}' | sort | uniq -c | sort -n 18 SSLv3 with cipher ECDHE-RSA-AES256-SHA 13523 TLSv1 with cipher ECDHE-RSA-AES256-SHA 17201 TLSv1 with cipher ECDHE-RSA-AES128-SHA 27290 TLSv1 with cipher ECDHE-RSA-RC4-SHA
Bei denen handelt es sich primär um Google, Freenet, Web.de und GMX. Ich nutze:
smtpd_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2 smtp_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2
Am 14.08.2013 13:02, schrieb Ralf Hildebrandt via postfix-users:
- Jochen Fahrner via postfix-users jf@fahrner.name:
Am 13.08.2013 14:51, schrieb Florian Streibelt:
Ralf hatte sich gerade woanders passend dazu aufgeregt, dass er vor über 2 Jahren mal was dazu geschrieben hat:
Ich hab das jetzt mal so konfiguriert. Verbindungen von und zu Posteo.de bekommen nun den Cipher ADH-AES256-SHA. Das ist kein ECC, oder?
Brauch ich vielleicht noch ein smtpd_tls_exclude_ciphers = aNULL?
Also ich suche so:
ECDHE (elliptic curve diffie hellman ephemeral):
# zegrep "TLS connection established from.*with cipher.*ECDHE" /var/log/OLD/2013-08-*/mail.log* | awk '{printf("%s %s %s %s\n", $12, $13, $14, $15)}' | sort | uniq -c | sort -n 18 SSLv3 with cipher ECDHE-RSA-AES256-SHA 13523 TLSv1 with cipher ECDHE-RSA-AES256-SHA 17201 TLSv1 with cipher ECDHE-RSA-AES128-SHA 27290 TLSv1 with cipher ECDHE-RSA-RC4-SHA
Bei denen handelt es sich primär um Google, Freenet, Web.de und GMX. Ich nutze:
geht scheinbar nur mit postix gelinked openssl ueber 1.x mit 0.9x
warning: Invalid TLS protocol list "!SSLv2, !TLSv1.1, !TLSv1.2": disabling TLS support
smtpd_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2 smtp_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2
ansonsten
smtpd_tls_protocols = !SSLv2 smtp_tls_protocols = !SSLv2
Note: As of OpenSSL 1.0.1 two new protocols are defined, "TLSv1.1" and "TLSv1.2". If an older Postfix version is linked against OpenSSL 1.0.1 or later, these, or any other new protocol versions, are unconditionally enabled.
Best Regards MfG Robert Schetterer
Am 14.08.2013 13:02, schrieb Ralf Hildebrandt:
Also ich suche so:
ECDHE (elliptic curve diffie hellman ephemeral):
# zegrep "TLS connection established from.*with cipher.*ECDHE" /var/log/OLD/2013-08-*/mail.log* | awk '{printf("%s %s %s %s\n", $12, $13, $14, $15)}' | sort | uniq -c | sort -n 18 SSLv3 with cipher ECDHE-RSA-AES256-SHA 13523 TLSv1 with cipher ECDHE-RSA-AES256-SHA 17201 TLSv1 with cipher ECDHE-RSA-AES128-SHA 27290 TLSv1 with cipher ECDHE-RSA-RC4-SHA
Bei denen handelt es sich primär um Google, Freenet, Web.de und GMX.
Mit EHCDHE habe ich gar nichts. Ich habe nur folgende: 6 TLSv1 with cipher DHE-RSA-AES128-SHA 26 TLSv1 with cipher RC4-MD5 30 TLSv1 with cipher RC4-SHA 184 TLSv1 with cipher AES256-SHA 218 TLSv1 with cipher DHE-RSA-AES256-SHA 404 TLSv1 with cipher ADH-AES256-SHA
Da muss ich wohl noch dran arbeiten.
Ich nutze:
smtpd_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2 smtp_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2
Wozu ist das gut Protokolle auszuschliessen?
Am 14.08.2013 13:43, schrieb Jochen Fahrner via postfix-users:
Am 14.08.2013 13:02, schrieb Ralf Hildebrandt:
Also ich suche so:
ECDHE (elliptic curve diffie hellman ephemeral):
# zegrep "TLS connection established from.*with cipher.*ECDHE" /var/log/OLD/2013-08-*/mail.log* | awk '{printf("%s %s %s %s\n", $12, $13, $14, $15)}' | sort | uniq -c | sort -n 18 SSLv3 with cipher ECDHE-RSA-AES256-SHA 13523 TLSv1 with cipher ECDHE-RSA-AES256-SHA 17201 TLSv1 with cipher ECDHE-RSA-AES128-SHA 27290 TLSv1 with cipher ECDHE-RSA-RC4-SHA
Bei denen handelt es sich primär um Google, Freenet, Web.de und GMX.
Mit EHCDHE habe ich gar nichts. Ich habe nur folgende: 6 TLSv1 with cipher DHE-RSA-AES128-SHA 26 TLSv1 with cipher RC4-MD5 30 TLSv1 with cipher RC4-SHA 184 TLSv1 with cipher AES256-SHA 218 TLSv1 with cipher DHE-RSA-AES256-SHA 404 TLSv1 with cipher ADH-AES256-SHA
Da muss ich wohl noch dran arbeiten.
so wie ich das verstanden habe muesste DHE auch ausreichen EHCDHE ist extended per se schneller
http://vincent.bernat.im/en/blog/2011-ssl-perfect-forward-secrecy.html
Because the Diffie-Hellman exchange described above always uses new random values ·a· and ·b·, it is called Ephemeral Diffie-Hellman (EDH or DHE). Cipher suites like DHE-RSA-AES128-SHA use this protocol to achieve perfect forward secrecy1.
Using ECDHE-RSA-AES128-SHA cipher suite (with P-256 for example) is already a huge speed improvement over DHE-RSA-AES128-SHA thanks to the reduced size of the various parameters involved.
Ich nutze:
smtpd_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2 smtp_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2
Wozu ist das gut Protokolle auszuschliessen?
SSLv2 ist wohl per se kapput, die anderen haben wohl auch noch Macken
Best Regards MfG Robert Schetterer
Am 14.08.2013 13:55, schrieb Robert Schetterer via postfix-users:
so wie ich das verstanden habe muesste DHE auch ausreichen EHCDHE ist extended per se schneller
Mein OpenSSL 0.9.8 (Ubuntu Lucid) hat anscheinend gar kein EHCDE, nur:
DHE-RSA-AES256-SHA DHE-DSS-AES256-SHA AES256-SHA EDH-RSA-DES-CBC3-SHA EDH-DSS-DES-CBC3-SHA DES-CBC3-SHA DHE-RSA-AES128-SHA DHE-DSS-AES128-SHA AES128-SHA RC4-SHA RC4-MD5 EDH-RSA-DES-CBC-SHA EDH-DSS-DES-CBC-SHA DES-CBC-SHA EXP-EDH-RSA-DES-CBC-SHA EXP-EDH-DSS-DES-CBC-SHA EXP-DES-CBC-SHA EXP-RC2-CBC-MD5 EXP-RC4-MD5
Am 14.08.2013 14:02, schrieb Jochen Fahrner via postfix-users:
Am 14.08.2013 13:55, schrieb Robert Schetterer via postfix-users:
so wie ich das verstanden habe muesste DHE auch ausreichen EHCDHE ist extended per se schneller
Mein OpenSSL 0.9.8 (Ubuntu Lucid) hat anscheinend gar kein EHCDE, nur:
DHE-RSA-AES256-SHA DHE-DSS-AES256-SHA AES256-SHA EDH-RSA-DES-CBC3-SHA EDH-DSS-DES-CBC3-SHA DES-CBC3-SHA DHE-RSA-AES128-SHA DHE-DSS-AES128-SHA AES128-SHA RC4-SHA RC4-MD5 EDH-RSA-DES-CBC-SHA EDH-DSS-DES-CBC-SHA DES-CBC-SHA EXP-EDH-RSA-DES-CBC-SHA EXP-EDH-DSS-DES-CBC-SHA EXP-DES-CBC-SHA EXP-RC2-CBC-MD5 EXP-RC4-MD5
jep gibts scheinbar erst ab openssl groesser 1.x das hab ich fuer lucid aber nicht gefunden gestern, auch nicht im ppa
Best Regards MfG Robert Schetterer
* Jochen Fahrner via postfix-users jf@fahrner.name:
Am 14.08.2013 13:55, schrieb Robert Schetterer via postfix-users:
so wie ich das verstanden habe muesste DHE auch ausreichen EHCDHE ist extended per se schneller
Mein OpenSSL 0.9.8 (Ubuntu Lucid) hat anscheinend gar kein EHCDE, nur:
Ja, erst ab 1.0.0 gibt es ECC und damit EHCDE. In deinem Falle gibt es "nur" die DHE-* ciphers.
Ich hab mich jetzt noch ein bisschen durch die Materie gegoogelt.
Laut diesem Artikel: http://www.heise.de/security/artikel/Forward-Secrecy-testen-und-einrichten-1...
Bietet Diffie-Hellmann die Forward Secrecy. Aber ich glaube das ist nicht ganz korrekt, ich denke es kommt auf den Zusatz "Ephemeral" an, wie man anderen Quellen entnehmen kann.
Wenn man sich diese Liste anschaut: http://www.proftpd.org/docs/directives/linked/config_ref_TLSCipherSuite.html
scheint ADH das "Ephemeral" nicht zu besitzen. Ist aber nur eine Vermutung von mir. Mist dass man überall nur so Andeutungen erfährt, aber nie was Genaues.
Nach meinen Beobachtungen scheint das ADH bei den meisten Mailservern oberste Priorität zu haben (wegen dem geringsten Overhead), EDH kommt erst an zweiter Stelle.
Seit ich mit aNULL alle anonymen Verfahren verbiete, bekomme ich jetzt viel häufiger EDH Verbindungen hin.
Kann das jemand bestätigen? Gibt es "elegantere" Möglichkeiten ADH zu verhindern und EDH zu bevorzugen?
Am 15.08.2013 13:18, schrieb Jochen via postfix-users:
Ich hab mich jetzt noch ein bisschen durch die Materie gegoogelt.
Laut diesem Artikel: http://www.heise.de/security/artikel/Forward-Secrecy-testen-und-einrichten-1...
Bietet Diffie-Hellmann die Forward Secrecy. Aber ich glaube das ist nicht ganz korrekt, ich denke es kommt auf den Zusatz "Ephemeral" an, wie man anderen Quellen entnehmen kann.
Wenn man sich diese Liste anschaut: http://www.proftpd.org/docs/directives/linked/config_ref_TLSCipherSuite.html
scheint ADH das "Ephemeral" nicht zu besitzen. Ist aber nur eine Vermutung von mir. Mist dass man überall nur so Andeutungen erfährt, aber nie was Genaues.
Nach meinen Beobachtungen scheint das ADH bei den meisten Mailservern oberste Priorität zu haben (wegen dem geringsten Overhead), EDH kommt erst an zweiter Stelle.
Seit ich mit aNULL alle anonymen Verfahren verbiete, bekomme ich jetzt viel häufiger EDH Verbindungen hin.
Kann das jemand bestätigen? Gibt es "elegantere" Möglichkeiten ADH zu verhindern und EDH zu bevorzugen?
ich denke du kannst nur die Liste der verfuegbaren Cipher einschraenken mit dem Risiko das gar nicht ,oder nicht verschluesselt verbunden wird vermutlich ist es auch von der verwendeten openssl version abhaengig bzw vom coder welche Verbindungsart prefferiert wird
Best Regards MfG Robert Schetterer
* Jochen via postfix-users jf@fahrner.name:
Ich hab mich jetzt noch ein bisschen durch die Materie gegoogelt.
Laut diesem Artikel: http://www.heise.de/security/artikel/Forward-Secrecy-testen-und-einrichten-1...
Bietet Diffie-Hellmann die Forward Secrecy. Aber ich glaube das ist nicht ganz korrekt, ich denke es kommt auf den Zusatz "Ephemeral" an, wie man anderen Quellen entnehmen kann.
Korrekt.
Wenn man sich diese Liste anschaut: http://www.proftpd.org/docs/directives/linked/config_ref_TLSCipherSuite.html
scheint ADH das "Ephemeral" nicht zu besitzen. Ist aber nur eine Vermutung von mir. Mist dass man überall nur so Andeutungen erfährt, aber nie was Genaues.
So geht es mit auch.
Nach meinen Beobachtungen scheint das ADH bei den meisten Mailservern oberste Priorität zu haben (wegen dem geringsten Overhead), EDH kommt erst an zweiter Stelle.
Seit ich mit aNULL alle anonymen Verfahren verbiete, bekomme ich jetzt viel häufiger EDH Verbindungen hin.
Kann das jemand bestätigen? Gibt es "elegantere" Möglichkeiten ADH zu verhindern und EDH zu bevorzugen?
-- Mit besten Grüßen Jochen Fahrner _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Hallo zusammen,
habe das vor 2 Tagen auch mal aktiviert. Scheint auch ganz gut zu funktionieren, nun kann aber ein Exchange 2003 Server seine Mails nicht mehr bei uns ausliefern:
Aug 16 09:10:38 mailserver postfix/smtpd[1461]: Anonymous TLS connection established from sendeserver.tld[x.x.x.x]: TLSv1 with cipher DES-CBC3-SHA (168/168 bits) Aug 16 09:10:39 mailserver postfix/smtpd[1461]: improper command pipelining after EHLO from sendeserver.tld[x.x.x.x]: Aug 16 09:10:39 mailserver postfix/smtpd[1461]: warning: TLS library problem: 1461:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:337: Aug 16 09:10:39 mailserver postfix/smtpd[1461]: lost connection after EHLO from sendeserver.tld[x.x.x.x] Aug 16 09:10:39 mailserver postfix/smtpd[1461]: disconnect from sendeserver.tld[x.x.x.x]
Ist das eventuell das Problem, das Ralf mit den broken clients hier beschreibt? http://sys4.de/de/blog/2013/08/14/postfix-tls-forward-secrecy/
Oder hab ich ein Problem auf dem Mailserver?
Viele Grüße, Martin
Hallo Martin,
* Martin Sebald via postfix-users msebald@hot-chilli.net:
Hallo zusammen,
habe das vor 2 Tagen auch mal aktiviert. Scheint auch ganz gut zu funktionieren, nun kann aber ein Exchange 2003 Server seine Mails nicht mehr bei uns ausliefern:
hast Du Zugriff auf den Exchange-Server und kannst dort in die Logs sehen?
Kurzfristig kannst Du den Server mit smtpd_discard_ehlo_keyword_address_maps von STARTTLS ausnehmen, damit er ausliefern kann.
Aug 16 09:10:38 mailserver postfix/smtpd[1461]: Anonymous TLS connection established from sendeserver.tld[x.x.x.x]: TLSv1 with cipher DES-CBC3-SHA (168/168 bits) Aug 16 09:10:39 mailserver postfix/smtpd[1461]: improper command pipelining after EHLO from sendeserver.tld[x.x.x.x]: Aug 16 09:10:39 mailserver postfix/smtpd[1461]: warning: TLS library problem: 1461:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:337: Aug 16 09:10:39 mailserver postfix/smtpd[1461]: lost connection after EHLO from sendeserver.tld[x.x.x.x] Aug 16 09:10:39 mailserver postfix/smtpd[1461]: disconnect from sendeserver.tld[x.x.x.x]
Ist das eventuell das Problem, das Ralf mit den broken clients hier beschreibt? http://sys4.de/de/blog/2013/08/14/postfix-tls-forward-secrecy/
Oder hab ich ein Problem auf dem Mailserver?
Das kann ich noch nicht sagen.
p@rick
On 16.08.2013 09:35, Patrick Ben Koetter via postfix-users wrote:
habe das vor 2 Tagen auch mal aktiviert. Scheint auch ganz gut zu funktionieren, nun kann aber ein Exchange 2003 Server seine Mails nicht mehr bei uns ausliefern:
hast Du Zugriff auf den Exchange-Server und kannst dort in die Logs sehen?
Bedingt. Müsste ich mit dem Admin dort abklären.
Kurzfristig kannst Du den Server mit smtpd_discard_ehlo_keyword_address_maps von STARTTLS ausnehmen, damit er ausliefern kann.
Wäre auf jeden Fall das Vorgehen der Wahl. Stimmt die Syntax, was ich in meiner anderen Nachricht eben gepostet habe?
Ist das eventuell das Problem, das Ralf mit den broken clients hier beschreibt? http://sys4.de/de/blog/2013/08/14/postfix-tls-forward-secrecy/ Oder hab ich ein Problem auf dem Mailserver?
Das kann ich noch nicht sagen.
Die Fehlermeldung (habe mal nach "improper command pipelining" gegreppt) kommt auf jeden Fall seit Umstellung nur von diesem einen Host. Immerhin...
Viele Grüße, Martin
* Martin Sebald via postfix-users msebald@hot-chilli.net:
On 16.08.2013 09:35, Patrick Ben Koetter via postfix-users wrote:
habe das vor 2 Tagen auch mal aktiviert. Scheint auch ganz gut zu funktionieren, nun kann aber ein Exchange 2003 Server seine Mails nicht mehr bei uns ausliefern:
hast Du Zugriff auf den Exchange-Server und kannst dort in die Logs sehen?
Bedingt. Müsste ich mit dem Admin dort abklären.
Kurzfristig kannst Du den Server mit smtpd_discard_ehlo_keyword_address_maps von STARTTLS ausnehmen, damit er ausliefern kann.
Wäre auf jeden Fall das Vorgehen der Wahl. Stimmt die Syntax, was ich in meiner anderen Nachricht eben gepostet habe?
Ist das eventuell das Problem, das Ralf mit den broken clients hier beschreibt? http://sys4.de/de/blog/2013/08/14/postfix-tls-forward-secrecy/ Oder hab ich ein Problem auf dem Mailserver?
Das kann ich noch nicht sagen.
Die Fehlermeldung (habe mal nach "improper command pipelining" gegreppt) kommt auf jeden Fall seit Umstellung nur von diesem einen Host. Immerhin...
Das ist natürlich evil. Ich sehe es aber als ein grundsätzliches, vom TLS-Problem abgekoppeltes Fehlverhalten des clients.
p@rick
On 16.08.2013 10:00, Patrick Ben Koetter via postfix-users wrote:
- Martin Sebald via postfix-users msebald@hot-chilli.net:
Die Fehlermeldung (habe mal nach "improper command pipelining" gegreppt) kommt auf jeden Fall seit Umstellung nur von diesem einen Host. Immerhin...
Das ist natürlich evil. Ich sehe es aber als ein grundsätzliches, vom TLS-Problem abgekoppeltes Fehlverhalten des clients.
Mit der Umstellung bei uns hat das auf jeden Fall auch zu tun. Denn genau seitdem kann der Exchange keine Mails mehr einliefern. Habe das eben geprüft. Was auf dem Exchange allerdings schief läuft, wie das Ding eingestellt und gepatcht ist mit Microsoft Updates oder gar Service Packs, keine Ahnung. Kann ich ggf rausfinden, mal gucken, was der Admin dazu sagt. Wäre es denn allgemein für die Liste hier interessant, hier etwas weiter zu forschen?
Viele Grüße, Martin
* Martin Sebald via postfix-users msebald@hot-chilli.net:
On 16.08.2013 10:00, Patrick Ben Koetter via postfix-users wrote:
- Martin Sebald via postfix-users msebald@hot-chilli.net:
Die Fehlermeldung (habe mal nach "improper command pipelining" gegreppt) kommt auf jeden Fall seit Umstellung nur von diesem einen Host. Immerhin...
Das ist natürlich evil. Ich sehe es aber als ein grundsätzliches, vom TLS-Problem abgekoppeltes Fehlverhalten des clients.
Mit der Umstellung bei uns hat das auf jeden Fall auch zu tun. Denn genau seitdem kann der Exchange keine Mails mehr einliefern. Habe das eben geprüft. Was auf dem Exchange allerdings schief läuft, wie das Ding eingestellt und gepatcht ist mit Microsoft Updates oder gar Service Packs, keine Ahnung. Kann ich ggf rausfinden, mal gucken, was der Admin dazu sagt. Wäre es denn allgemein für die Liste hier interessant, hier etwas weiter zu forschen?
Ja. Interoperabilität zwischen Systemen, wenn man TLS mit PFS einsetzt ist zur Abwechslung mal echtes #neuland. Ich würde das ggf. eindampfen wenn wir mehr gelernt haben und es im bereits bestehenden Blog anhängen. Ähnlich Roberts Forschungsreise, die er in http://sys4.de/de/blog/2013/08/15/dovecot-tls-perfect-forward-secrecy/ für Dovevot beschreibt.
p@rick
On 16.08.2013 10:10, Patrick Ben Koetter via postfix-users wrote:
- Martin Sebald via postfix-users msebald@hot-chilli.net:
Kann ich ggf rausfinden, mal gucken, was der Admin dazu sagt. Wäre es denn allgemein für die Liste hier interessant, hier etwas weiter zu forschen?
Ja. Interoperabilität zwischen Systemen, wenn man TLS mit PFS einsetzt ist zur Abwechslung mal echtes #neuland. Ich würde das ggf. eindampfen wenn wir mehr gelernt haben und es im bereits bestehenden Blog anhängen. Ähnlich Roberts Forschungsreise, die er in http://sys4.de/de/blog/2013/08/15/dovecot-tls-perfect-forward-secrecy/ für Dovevot beschreibt.
Alles klar. Ich bekomme wohl demnächst TeamViewer-Zugriff auf den Server. Mal gucken, was da für Einstellungen gesetzt sind. Melde mich dann.
Viele Grüße, Martin
On 16.08.2013 11:02, Martin Sebald via postfix-users wrote:
On 16.08.2013 10:10, Patrick Ben Koetter via postfix-users wrote:
- Martin Sebald via postfix-users msebald@hot-chilli.net:
Kann ich ggf rausfinden, mal gucken, was der Admin dazu sagt. Wäre es denn allgemein für die Liste hier interessant, hier etwas weiter zu forschen?
Ja. Interoperabilität zwischen Systemen, wenn man TLS mit PFS einsetzt ist zur Abwechslung mal echtes #neuland. Ich würde das ggf. eindampfen wenn wir mehr gelernt haben und es im bereits bestehenden Blog anhängen. Ähnlich Roberts Forschungsreise, die er in http://sys4.de/de/blog/2013/08/15/dovecot-tls-perfect-forward-secrecy/ für Dovevot beschreibt.
Alles klar. Ich bekomme wohl demnächst TeamViewer-Zugriff auf den Server. Mal gucken, was da für Einstellungen gesetzt sind. Melde mich dann.
Also so richtig viel kann man hier nicht einstellen. Ich häng Faulheit bedingt mal einen Screenshot an. Hoffe, der kommt an und ist ok hier in der Liste. Ansonsten schreib ich das zukünftig ab. ;-)
Könnte nun ja TLS abschalten, dann wird alles im Klartext gemacht, vermutlich sogar inklusive Passwort.
Viele Grüße, Martin
Am 16.08.2013 09:21, schrieb Martin Sebald via postfix-users:
Hallo zusammen,
habe das vor 2 Tagen auch mal aktiviert. Scheint auch ganz gut zu funktionieren, nun kann aber ein Exchange 2003 Server seine Mails nicht mehr bei uns ausliefern:
Aug 16 09:10:38 mailserver postfix/smtpd[1461]: Anonymous TLS connection established from sendeserver.tld[x.x.x.x]: TLSv1 with cipher DES-CBC3-SHA (168/168 bits) Aug 16 09:10:39 mailserver postfix/smtpd[1461]: improper command pipelining after EHLO from sendeserver.tld[x.x.x.x]: Aug 16 09:10:39 mailserver postfix/smtpd[1461]: warning: TLS library problem: 1461:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:337: Aug 16 09:10:39 mailserver postfix/smtpd[1461]: lost connection after EHLO from sendeserver.tld[x.x.x.x] Aug 16 09:10:39 mailserver postfix/smtpd[1461]: disconnect from sendeserver.tld[x.x.x.x]
Ist das eventuell das Problem, das Ralf mit den broken clients hier beschreibt? http://sys4.de/de/blog/2013/08/14/postfix-tls-forward-secrecy/
Oder hab ich ein Problem auf dem Mailserver?
mit exchange gibts beliebig viele Probleme, aber wenn es vorher geklappt hat dann liegt es schon nahe dass es an den neuen Einstellungen liegt, wenn der Exchange ein "Netznachbar" ist, also ein "Abhoeren" sehr sehr unwahrscheinlich ist kannst du eine Ausnahme definieren ( ip Adresse gar keine Verschluesselung mehr anbieten )
mit smtpd_discard_ehlo_keyword_address_maps
ansonsten drehe mal
tls_preempt_cipherlist = yes wieder auf no, das ist safe
ich hab hier allerdings keine Beschwerden darueber dass ich Exchange ausgeschlossen haette, der Fehler muss als per se nicht auf deiner Seite liegen
Viele Grüße, Martin
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
On 16.08.2013 09:37, Robert Schetterer via postfix-users wrote:
Am 16.08.2013 09:21, schrieb Martin Sebald via postfix-users:
Ist das eventuell das Problem, das Ralf mit den broken clients hier beschreibt? http://sys4.de/de/blog/2013/08/14/postfix-tls-forward-secrecy/ Oder hab ich ein Problem auf dem Mailserver?
mit exchange gibts beliebig viele Probleme, aber wenn es vorher geklappt hat dann liegt es schon nahe dass es an den neuen Einstellungen liegt, wenn der Exchange ein "Netznachbar" ist, also ein "Abhoeren" sehr sehr unwahrscheinlich ist kannst du eine Ausnahme definieren ( ip Adresse gar keine Verschluesselung mehr anbieten )
Netznachbar ist jetzt übertrieben. Platt gesagt: Der Server steht irgendwo in DE, mein Postfixserver auch.
mit smtpd_discard_ehlo_keyword_address_maps
Bevor ich das ganz abschalte, würde ich erstmal dem Server eine Sonderlocke stricken. Das Setting wende ich dann so an?
main.cf smtpd_discard_ehlo_keyword_address_maps = hash:/etc/postfix/discard_ehlo
/etc/postfix/discard_ehlo x.x.x.x starttls,silent-discard
Ist das soweit richtig? Sorry, noch nie mit beschäftigt. ;-)
ansonsten drehe mal tls_preempt_cipherlist = yes wieder auf no, das ist safe
Ja, das will ich im Moment eigentlich nicht. An sich gar nicht mehr.
ich hab hier allerdings keine Beschwerden darueber dass ich Exchange ausgeschlossen haette, der Fehler muss als per se nicht auf deiner Seite liegen
Vielleicht lässt sich ja noch herausfinden, was das Problem ist.
Viele Grüße, Martin
On 16.08.2013 09:51, Martin Sebald via postfix-users wrote:
Das Setting wende ich dann so an?
main.cf smtpd_discard_ehlo_keyword_address_maps = hash:/etc/postfix/discard_ehlo
/etc/postfix/discard_ehlo x.x.x.x starttls,silent-discard
Ist das soweit richtig? Sorry, noch nie mit beschäftigt. ;-)
Stimmt das denn so? ;-)
Viele Grüße, Martin
Am 16.08.2013 10:49, schrieb Martin Sebald via postfix-users:
On 16.08.2013 09:51, Martin Sebald via postfix-users wrote:
Das Setting wende ich dann so an?
main.cf smtpd_discard_ehlo_keyword_address_maps = hash:/etc/postfix/discard_ehlo
/etc/postfix/discard_ehlo x.x.x.x starttls,silent-discard
ich hab zb
x.x.x.x starttls ,pipelining
sollte also passen
Ist das soweit richtig? Sorry, noch nie mit beschäftigt. ;-)
Stimmt das denn so? ;-)
Viele Grüße, Martin _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
On 16.08.2013 11:00, Robert Schetterer via postfix-users wrote:
Am 16.08.2013 10:49, schrieb Martin Sebald via postfix-users:
On 16.08.2013 09:51, Martin Sebald via postfix-users wrote:
Das Setting wende ich dann so an?
main.cf smtpd_discard_ehlo_keyword_address_maps = hash:/etc/postfix/discard_ehlo
/etc/postfix/discard_ehlo x.x.x.x starttls,silent-discard
ich hab zb
x.x.x.x starttls ,pipelining
sollte also passen
Hab jetzt mal Deine Variante eingetragen. Macht die Situation nicht besser:
Aug 16 11:21:00 mailserver postfix/smtpd[9963]: connect from sendeserver.tld[x.x.x.x] Aug 16 11:21:01 mailserver postfix/smtpd[9963]: discarding EHLO keywords: PIPELINING STARTTLS Aug 16 11:21:01 mailserver postfix/smtpd[9963]: lost connection after EHLO from sendeserver.tld[x.x.x.x]
Der Exchange scheint beleidigt zu sein.
Viele Grüße, Martin
Am 16.08.2013 11:26, schrieb Martin Sebald via postfix-users:
On 16.08.2013 11:00, Robert Schetterer via postfix-users wrote:
Am 16.08.2013 10:49, schrieb Martin Sebald via postfix-users:
On 16.08.2013 09:51, Martin Sebald via postfix-users wrote:
Das Setting wende ich dann so an?
main.cf smtpd_discard_ehlo_keyword_address_maps = hash:/etc/postfix/discard_ehlo
/etc/postfix/discard_ehlo x.x.x.x starttls,silent-discard
ich hab zb
x.x.x.x starttls ,pipelining
sollte also passen
Hab jetzt mal Deine Variante eingetragen. Macht die Situation nicht besser:
Aug 16 11:21:00 mailserver postfix/smtpd[9963]: connect from sendeserver.tld[x.x.x.x] Aug 16 11:21:01 mailserver postfix/smtpd[9963]: discarding EHLO keywords: PIPELINING STARTTLS Aug 16 11:21:01 mailserver postfix/smtpd[9963]: lost connection after EHLO from sendeserver.tld[x.x.x.x]
Der Exchange scheint beleidigt zu sein.
nun dein postfix macht aber alles richtig, aber wenn der exchange so configuriert ist dass er per se nur ueber tls bei dir einliefern will kann es ja so nicht klappen
Viele Grüße, Martin _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
On 16.08.2013 11:29, Robert Schetterer via postfix-users wrote:
Am 16.08.2013 11:26, schrieb Martin Sebald via postfix-users:
On 16.08.2013 11:00, Robert Schetterer via postfix-users wrote:
Am 16.08.2013 10:49, schrieb Martin Sebald via postfix-users:
On 16.08.2013 09:51, Martin Sebald via postfix-users wrote:
Das Setting wende ich dann so an?
main.cf smtpd_discard_ehlo_keyword_address_maps = hash:/etc/postfix/discard_ehlo
/etc/postfix/discard_ehlo x.x.x.x starttls,silent-discard
ich hab zb
x.x.x.x starttls ,pipelining
sollte also passen
Hab jetzt mal Deine Variante eingetragen. Macht die Situation nicht besser:
Aug 16 11:21:00 mailserver postfix/smtpd[9963]: connect from sendeserver.tld[x.x.x.x] Aug 16 11:21:01 mailserver postfix/smtpd[9963]: discarding EHLO keywords: PIPELINING STARTTLS Aug 16 11:21:01 mailserver postfix/smtpd[9963]: lost connection after EHLO from sendeserver.tld[x.x.x.x]
Der Exchange scheint beleidigt zu sein.
nun dein postfix macht aber alles richtig, aber wenn der exchange so configuriert ist dass er per se nur ueber tls bei dir einliefern will kann es ja so nicht klappen
Stimmt, das habe ich eben auch festgestellt, als ich per TeamViewer auf die Kiste kam. Siehe anderer Beitrag von eben mit dem Screenshot.
Dh ich schalte nun TLS ab und Thema erledigt?
Der lokale Exchange wird eh in 2-3 Wochen abgelöst durch einen WebExchange Dienst.
Um ein "richtiges" Exchange Problem handelt es sich hier ja eh nicht. Es geht ja "nur" um den SMTP Connector. Dh es ist eine eher spezielle Sache. Macht es aber grundsätzlich nicht besser irgendwie.
Viele Grüße, Martin
Am 16.08.2013 11:37, schrieb Martin Sebald via postfix-users:
Stimmt, das habe ich eben auch festgestellt, als ich per TeamViewer auf die Kiste kam. Siehe anderer Beitrag von eben mit dem Screenshot.
Dh ich schalte nun TLS ab und Thema erledigt?
Der lokale Exchange wird eh in 2-3 Wochen abgelöst durch einen WebExchange Dienst.
Um ein "richtiges" Exchange Problem handelt es sich hier ja eh nicht. Es geht ja "nur" um den SMTP Connector. Dh es ist eine eher spezielle Sache. Macht es aber grundsätzlich nicht besser irgendwie.
Viele Grüße, Martin
schaetze das ist ein Kunde von dir , sonst haettest du keinen Zugriff bekommen einen Tod muss du sterben, ich waere da pragmatisch,wenn es sich ohnehin nur um tmp handelt wieder tls_preempt_cipherlist = no nutzen ( dann sollte es wieder funktionieren ), die Ausnahme in smtpd_discard_ehlo_keyword_address_maps wieder raus machen, irgendeine Verschluesselung ist besser als gar keine, meiner Ansicht nach ,auch wenn Forward Secrecy dann erstmal nur fuer weniger Verbindungen angewendet wird, in 3 Wochen kannst du ja dann wieder auf tls_preempt_cipherlist = yes gehen
real wirst du Forward Secrecy fuer alle Verbindungen wohl nie durchdruecken koennen wenn du nicht staendig support haben willst, besonders nicht wenn du Vertraege fuer relay hast, oder du musst fuer sowas eben genaue Handlungs/Setup anweisungen geben, dann bist du aus dem Schneider wenn jemand sich nicht daran haelt
Best Regards MfG Robert Schetterer
On 16.08.2013 11:56, Robert Schetterer via postfix-users wrote:
Am 16.08.2013 11:37, schrieb Martin Sebald via postfix-users:
Stimmt, das habe ich eben auch festgestellt, als ich per TeamViewer auf die Kiste kam. Siehe anderer Beitrag von eben mit dem Screenshot. Dh ich schalte nun TLS ab und Thema erledigt? Der lokale Exchange wird eh in 2-3 Wochen abgelöst durch einen WebExchange Dienst. Um ein "richtiges" Exchange Problem handelt es sich hier ja eh nicht. Es geht ja "nur" um den SMTP Connector. Dh es ist eine eher spezielle Sache. Macht es aber grundsätzlich nicht besser irgendwie.
schaetze das ist ein Kunde von dir , sonst haettest du keinen Zugriff bekommen einen Tod muss du sterben, ich waere da pragmatisch,wenn es sich ohnehin nur um tmp handelt wieder tls_preempt_cipherlist = no nutzen ( dann sollte es wieder funktionieren ), die Ausnahme in smtpd_discard_ehlo_keyword_address_maps wieder raus machen, irgendeine Verschluesselung ist besser als gar keine, meiner Ansicht nach ,auch wenn Forward Secrecy dann erstmal nur fuer weniger Verbindungen angewendet wird, in 3 Wochen kannst du ja dann wieder auf tls_preempt_cipherlist = yes gehen real wirst du Forward Secrecy fuer alle Verbindungen wohl nie durchdruecken koennen wenn du nicht staendig support haben willst, besonders nicht wenn du Vertraege fuer relay hast, oder du musst fuer sowas eben genaue Handlungs/Setup anweisungen geben, dann bist du aus dem Schneider wenn jemand sich nicht daran haelt
Da ich erstmal mit der Config fahren will, auch um andere Probleme zu erkennen, die ggf noch kommen, ist es mir in dem Fall lieber gewesen, Verschlüsselung auf dem Exchange komplett abzuschalten. Kunde ist übertrieben. Eher Kunde vom Kunden. Ist alles eine Sonderlocke, weil er zwar ne feste IP hat, aber diese in der Dialuprange der Telekom ist und er so keine Mails versenden kann. Temporär, da wie gesagt in 2-3 Wochen der WebExchange kommt. Da ich das nur am Rande mitbekomme und hier wieder an der Config schrauben müsste, bin ich nun so herum vorgegangen. Widerspricht natürlich meiner Grundeinstellung zum Thema Verschlüsselung, das sollte klar sein. ;-)
Mich würde halt interessieren, wie (genau dieser) Exchange agieren würde, wenn er Mails "normal" ausliefern würde und nicht alles an den SMTP-Relay mit SMTP-Auth geht. Da ich ansonsten keine Fehler erkenne, sollte das an sich klappen. Denn statistisch gesehen sollte bei mir in den letzten 2 Tagen ja auch mal ne Mail von einem Exchange 2003 angekommen sein.
Viele Grüße, Martin
Am 16.08.2013 12:11, schrieb Martin Sebald via postfix-users:
Mich würde halt interessieren, wie (genau dieser) Exchange agieren würde, wenn er Mails "normal" ausliefern würde und nicht alles an den SMTP-Relay mit SMTP-Auth geht. Da ich ansonsten keine Fehler erkenne, sollte das an sich klappen. Denn statistisch gesehen sollte bei mir in den letzten 2 Tagen ja auch mal ne Mail von einem Exchange 2003 angekommen sein.
ich habe keinen Anhaltspunkt dass es dabei Probleme gibt , allerdings so lange du "may" eingestellt hast, sollte bei einem Problem einfach auto auf unverschluesselt umgeschaltet werden, du kannst letztendlich nur etwas anbieten, wenn dein Partner das nicht will kommt es halt zum kleinsten gemeinsamen Nenner , der waere dann eben "unverschluesselt"
Best Regards MfG Robert Schetterer
On 16.08.2013 12:16, Robert Schetterer via postfix-users wrote:
Am 16.08.2013 12:11, schrieb Martin Sebald via postfix-users:
Mich würde halt interessieren, wie (genau dieser) Exchange agieren würde, wenn er Mails "normal" ausliefern würde und nicht alles an den SMTP-Relay mit SMTP-Auth geht. Da ich ansonsten keine Fehler erkenne, sollte das an sich klappen. Denn statistisch gesehen sollte bei mir in den letzten 2 Tagen ja auch mal ne Mail von einem Exchange 2003 angekommen sein.
ich habe keinen Anhaltspunkt dass es dabei Probleme gibt , allerdings so lange du "may" eingestellt hast, sollte bei einem Problem einfach auto auf unverschluesselt umgeschaltet werden, du kannst letztendlich nur etwas anbieten, wenn dein Partner das nicht will kommt es halt zum kleinsten gemeinsamen Nenner , der waere dann eben "unverschluesselt"
Jupp, das steht auf "may". Aber da man bei Exchange 2003, zumindest beim Mailrelay nicht STARTTLS einstellen kann sondern nur TLS und kein gemeinsamer Nenner gefunden wird, schlägt das hier wohl fehl. Schade.
Viele Grüße, Martin
Am 16.08.2013 09:37, schrieb Robert Schetterer via postfix-users:
tls_preempt_cipherlist = yes wieder auf no, das ist safe
ich hab hier allerdings keine Beschwerden darueber dass ich Exchange ausgeschlossen haette, der Fehler muss als per se nicht auf deiner Seite liegen
also ich kann auf jeden Fall bestaetigen dass es mit tls_preempt_cipherlist = no ,keine Probleme mit tls und Exchange ( div versionen , schaetze 2007-2013) gibt, die bevorzugte Verbindung ist praktisch immer AES128-SHA
Best Regards MfG Robert Schetterer
On 16.08.2013 10:57, Robert Schetterer via postfix-users wrote:
Am 16.08.2013 09:37, schrieb Robert Schetterer via postfix-users:
tls_preempt_cipherlist = yes wieder auf no, das ist safe ich hab hier allerdings keine Beschwerden darueber dass ich Exchange ausgeschlossen haette, der Fehler muss als per se nicht auf deiner Seite liegen
also ich kann auf jeden Fall bestaetigen dass es mit tls_preempt_cipherlist = no ,keine Probleme mit tls und Exchange ( div versionen , schaetze 2007-2013) gibt, die bevorzugte Verbindung ist praktisch immer AES128-SHA
Habe dieses Setting ja erst vor 2 Tagen eingeschaltet im Zuge der Umkonfiguration. Und seither hat der besagte Exchange Server hier keine Chance mehr.
Viele Grüße, Martin
Am 16.08.2013 11:00, schrieb Martin Sebald via postfix-users:
On 16.08.2013 10:57, Robert Schetterer via postfix-users wrote:
Am 16.08.2013 09:37, schrieb Robert Schetterer via postfix-users:
tls_preempt_cipherlist = yes wieder auf no, das ist safe ich hab hier allerdings keine Beschwerden darueber dass ich Exchange ausgeschlossen haette, der Fehler muss als per se nicht auf deiner Seite liegen
also ich kann auf jeden Fall bestaetigen dass es mit tls_preempt_cipherlist = no ,keine Probleme mit tls und Exchange ( div versionen , schaetze 2007-2013) gibt, die bevorzugte Verbindung ist praktisch immer AES128-SHA
Habe dieses Setting ja erst vor 2 Tagen eingeschaltet im Zuge der Umkonfiguration. Und seither hat der besagte Exchange Server hier keine Chance mehr.
du wirst das ohne Mithilfe des Exchnage Admins nicht klaeren koennen oder du schneidest den Traffic mal mit, dann siehst du genau was die server aushandeln moechten, mehr als das bereits Gesagte gibts dazu wohl nicht, aus meinen logs wuerde ich derzeit behaupten Forward Secrecy ist mit Exchnage derzeit nicht zu machen, moeglich dass man es Exchange beibringen kann ,aber es ist kein default
Viele Grüße, Martin _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am 16.08.2013 11:06, schrieb Robert Schetterer via postfix-users:
aus meinen logs wuerde ich derzeit behaupten Forward Secrecy ist mit Exchnage derzeit nicht zu machen, moeglich dass man es Exchange beibringen kann ,aber es ist kein default
also ich hab mal folgendes gefunden
http://technet.microsoft.com/de-de/library/cc731752.aspx
bezieht sich aber auf ipsec tunnel,
wenn ich das auf schnelle richtig lese ist das bei Windows Server eine Betriebssystem Option die man einschalten muss
http://technet.microsoft.com/en-us/library/cc739672%28v=ws.10%29.aspx
http://msdn.microsoft.com/en-us/library/ff719903.aspx
Best Regards MfG Robert Schetterer
* Martin Sebald via postfix-users msebald@hot-chilli.net:
Hallo zusammen,
habe das vor 2 Tagen auch mal aktiviert. Scheint auch ganz gut zu funktionieren, nun kann aber ein Exchange 2003 Server seine Mails nicht mehr bei uns ausliefern:
Hast Du SSLv2 auf Deinem Server disabled? Wenn ja, dann schalte es wieder an und prüfe nochmal. Ist zwar krank, weil SSLv2 br0ken by Design ist, aber wenn das den Druck erst mal rausnimmt.
Aug 16 09:10:38 mailserver postfix/smtpd[1461]: Anonymous TLS connection established from sendeserver.tld[x.x.x.x]: TLSv1 with cipher DES-CBC3-SHA (168/168 bits) Aug 16 09:10:39 mailserver postfix/smtpd[1461]: improper command pipelining after EHLO from sendeserver.tld[x.x.x.x]: Aug 16 09:10:39 mailserver postfix/smtpd[1461]: warning: TLS library problem: 1461:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:337: Aug 16 09:10:39 mailserver postfix/smtpd[1461]: lost connection after EHLO from sendeserver.tld[x.x.x.x] Aug 16 09:10:39 mailserver postfix/smtpd[1461]: disconnect from sendeserver.tld[x.x.x.x]
Ist das eventuell das Problem, das Ralf mit den broken clients hier beschreibt? http://sys4.de/de/blog/2013/08/14/postfix-tls-forward-secrecy/
Oder hab ich ein Problem auf dem Mailserver?
Viele Grüße, Martin
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
On 16.08.2013 09:39, Patrick Ben Koetter via postfix-users wrote:
- Martin Sebald via postfix-users msebald@hot-chilli.net:
habe das vor 2 Tagen auch mal aktiviert. Scheint auch ganz gut zu funktionieren, nun kann aber ein Exchange 2003 Server seine Mails nicht mehr bei uns ausliefern:
Hast Du SSLv2 auf Deinem Server disabled? Wenn ja, dann schalte es wieder an und prüfe nochmal. Ist zwar krank, weil SSLv2 br0ken by Design ist, aber wenn das den Druck erst mal rausnimmt.
Jupp, habe ich auch deaktiviert. Habe es eben mal auskommentiert. Melde mich dazu, sobald der Exchange Server einen neuen Versuch gestartet hat.
Viele Grüße, Martin
On 16.08.2013 09:46, Martin Sebald via postfix-users wrote:
On 16.08.2013 09:39, Patrick Ben Koetter via postfix-users wrote:
- Martin Sebald via postfix-users msebald@hot-chilli.net:
habe das vor 2 Tagen auch mal aktiviert. Scheint auch ganz gut zu funktionieren, nun kann aber ein Exchange 2003 Server seine Mails nicht mehr bei uns ausliefern:
Hast Du SSLv2 auf Deinem Server disabled? Wenn ja, dann schalte es wieder an und prüfe nochmal. Ist zwar krank, weil SSLv2 br0ken by Design ist, aber wenn das den Druck erst mal rausnimmt.
Jupp, habe ich auch deaktiviert. Habe es eben mal auskommentiert. Melde mich dazu, sobald der Exchange Server einen neuen Versuch gestartet hat.
Hat nichts geändert. Immer noch die gleichen Meldungen im Log.
Viele Grüße, Martin
Am 16.08.2013 09:39, schrieb Patrick Ben Koetter via postfix-users:
- Martin Sebald via postfix-users msebald@hot-chilli.net:
Hallo zusammen,
habe das vor 2 Tagen auch mal aktiviert. Scheint auch ganz gut zu funktionieren, nun kann aber ein Exchange 2003 Server seine Mails nicht mehr bei uns ausliefern:
Hast Du SSLv2 auf Deinem Server disabled? Wenn ja, dann schalte es wieder an und prüfe nochmal. Ist zwar krank, weil SSLv2 br0ken by Design ist, aber wenn das den Druck erst mal rausnimmt.
an sich sollte sollte mit Einstellung "may" ohnehin immer auto auf unverschluesselt geschaltet werden, wenn die Server sich nicht einigen koennen, ausser du hast ein relay Setup bei dem der Exchange so konfiguriert ist ,dass der nur mit tls einliefern kann, oder du hast etwas aenhliches mit einer policy fuer die domain extra definiert
Aug 16 09:10:38 mailserver postfix/smtpd[1461]: Anonymous TLS connection established from sendeserver.tld[x.x.x.x]: TLSv1 with cipher DES-CBC3-SHA (168/168 bits) Aug 16 09:10:39 mailserver postfix/smtpd[1461]: improper command pipelining after EHLO from sendeserver.tld[x.x.x.x]: Aug 16 09:10:39 mailserver postfix/smtpd[1461]: warning: TLS library problem: 1461:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:337: Aug 16 09:10:39 mailserver postfix/smtpd[1461]: lost connection after EHLO from sendeserver.tld[x.x.x.x] Aug 16 09:10:39 mailserver postfix/smtpd[1461]: disconnect from sendeserver.tld[x.x.x.x]
Ist das eventuell das Problem, das Ralf mit den broken clients hier beschreibt? http://sys4.de/de/blog/2013/08/14/postfix-tls-forward-secrecy/
Oder hab ich ein Problem auf dem Mailserver?
Viele Grüße, Martin
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
On 16.08.2013 09:55, Robert Schetterer via postfix-users wrote:
Am 16.08.2013 09:39, schrieb Patrick Ben Koetter via postfix-users:
- Martin Sebald via postfix-users msebald@hot-chilli.net:
habe das vor 2 Tagen auch mal aktiviert. Scheint auch ganz gut zu funktionieren, nun kann aber ein Exchange 2003 Server seine Mails nicht mehr bei uns ausliefern:
Hast Du SSLv2 auf Deinem Server disabled? Wenn ja, dann schalte es wieder an und prüfe nochmal. Ist zwar krank, weil SSLv2 br0ken by Design ist, aber wenn das den Druck erst mal rausnimmt.
an sich sollte sollte mit Einstellung "may" ohnehin immer auto auf unverschluesselt geschaltet werden, wenn die Server sich nicht einigen koennen, ausser du hast ein relay Setup bei dem der Exchange so konfiguriert ist ,dass der nur mit tls einliefern kann, oder du hast etwas aenhliches mit einer policy fuer die domain extra definiert
Du meinst, der Exchange Server ist eventuell so eingestellt, dass er nur TLS/SSL machen will, keine unverschlüsselten Verbindungen? Habe das Konfigurationsfenster für Mailrelay nicht mehr so wirklich im Kopf und weiß daher nicht mehr, was man da so alles einstellen kann außer Username/Passwort/Relayserver.
Viele Grüße, Martin
Am 16.08.2013 10:00, schrieb Martin Sebald via postfix-users:
On 16.08.2013 09:55, Robert Schetterer via postfix-users wrote:
Am 16.08.2013 09:39, schrieb Patrick Ben Koetter via postfix-users:
- Martin Sebald via postfix-users msebald@hot-chilli.net:
habe das vor 2 Tagen auch mal aktiviert. Scheint auch ganz gut zu funktionieren, nun kann aber ein Exchange 2003 Server seine Mails nicht mehr bei uns ausliefern:
Hast Du SSLv2 auf Deinem Server disabled? Wenn ja, dann schalte es wieder an und prüfe nochmal. Ist zwar krank, weil SSLv2 br0ken by Design ist, aber wenn das den Druck erst mal rausnimmt.
an sich sollte sollte mit Einstellung "may" ohnehin immer auto auf unverschluesselt geschaltet werden, wenn die Server sich nicht einigen koennen, ausser du hast ein relay Setup bei dem der Exchange so konfiguriert ist ,dass der nur mit tls einliefern kann, oder du hast etwas aenhliches mit einer policy fuer die domain extra definiert
Du meinst, der Exchange Server ist eventuell so eingestellt, dass er nur TLS/SSL machen will, keine unverschlüsselten Verbindungen? Habe das Konfigurationsfenster für Mailrelay nicht mehr so wirklich im Kopf und weiß daher nicht mehr, was man da so alles einstellen kann außer Username/Passwort/Relayserver.
Haette ich ein Exchange relay setup wuerde ich nur per smtp submission port 587 + tls einliefern mit user/password, man kann das in Exchange fuer einzelne Domains definieren
auf Exchange 2013 ist das fuer port allerdings nur auf der "commandline" moeglich, aus unerfindlichen Gruenden gibts dafuer dann mal keine Gui dadurch laesst es sich auch mal schnell fehlbedienen, wenn zb ein Admin in der gui den Server etwas aendert und vergisst es an der commandline zu ueberpruefen bzw mitzuaendern, werden die Einstellungen bei naechsten reload ( meist beim log rotate ) verstellt , bietet das Postfix relay dann zb nur diesen Port mit tls an ( weil es dafuer dediziert konfiguriert wurde ) bleiben die Mails liegen, das hat mich einige Nerven gekostet das rauszufinden.
Ausserdem gibts auch sonst noch andere 2013 specials
http://postfix.1071664.n5.nabble.com/Semi-OT-Exchange-2013-SMTP-Callout-td58...
ich weiss nicht wie da der Stand aktuell ist , aber es ist nicht unproblematisch in jedem Fall aber machbar, ausserdem wird auch Exchange staendig gepatched und manchmal geht auch da was schief *g
Viele Grüße, Martin _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
participants (7)
-
Florian Streibelt via postfix-users -
Jochen Fahrner via postfix-users
-
Jochen via postfix-users
-
Martin Sebald via postfix-users
-
Patrick Ben Koetter via postfix-users
-
Ralf Hildebrandt via postfix-users
-
Robert Schetterer via postfix-users