Retry-Verhalten des smtpd bei "no shared cipher", "unsupported protocol" bzw. 454 steuern
Hallo,
ist
"smtp_tls_security_level = may"
wie kann ich im *SMTPD postfix Sender* (der .conf) festlegen falls
"postfix/smtpd[4570]: warning: TLS library problem: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher:s3_srvr.c:1349:" oder "...unsupported protocol..."
auftritt, entweder a) der Sender es unverschluesselt wieder versucht, oder b) der Sender auf jeden Fall abbricht und der Nutzer benachrichtigt wird?
Anschlussfrage: Wenn der Server alternativ ein 454 zurueck gibt, wie kann ich im Sender dann das Verhalten a) bzw. b) differenzieren?
Danke und Gruesse,
fe
Am 12.10.2015 um 10:36 schrieb fe@fe8.de:
Hallo,
ist
"smtp_tls_security_level = may"
wie kann ich im *SMTPD postfix Sender* (der .conf) festlegen falls
"postfix/smtpd[4570]: warning: TLS library problem: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher:s3_srvr.c:1349:" oder "...unsupported protocol..."
auftritt, entweder a) der Sender es unverschluesselt wieder versucht, oder b) der Sender auf jeden Fall abbricht und der Nutzer benachrichtigt wird?
Anschlussfrage: Wenn der Server alternativ ein 454 zurueck gibt, wie kann ich im Sender dann das Verhalten a) bzw. b) differenzieren?
Danke und Gruesse,
fe
gugg mal genau hin
smtp_tls_security_level = may (
postfix/smtpd[4570]: warning
es geht also eigentlich um z.b
smtpd_use_tls = yes smtpd_tls_security_level = may
wie sehen denn die
smtpd_... Einstellungen bei dir aus ?
und per se solltest du nichts konfigurieren was einen unverschluesselten Empfang verhindert das waere sinnvoll wenn es mit dem Sender sozusagen abgesprochen ist.
Normal waere, du bietest verschluesselten Empfang unter gewissen Bedingungen an ( Verfahren usw ), die Partner einigen sich auto darauf Verschluesselung zu nutzen, wenn das nicht geht wird auto unverschluesselt uebertragen...., vermutlich hast du SSLv3 verboten bzw kein gemeinsamer cipher wurde gefunden, wenn es dir wichtig ist kannst du das evtl per sender host wieder einschalten, such mal welcher host das war
siehe
https://sys4.de/de/blog/2014/10/21/poodle-bug-postfix-sslv3-deaktivieren/
Best Regards MfG Robert Schetterer
Hallo Robert,
Danke! Ich wuerde gerne nur dann den "unverschluesselte" Wiederholungssendeversuch machen, wenn der Server wirklich kein TLS unterstuetzt, aber NICHT wenn die Fehler "no shared cipher" bzw. "unsupported protocol", 454 im *ersten* Versuch aufgetreten sind.
Ein schwieriges Problem? Unloesbar?
Danke und Gruesse,
fe.
12. Oktober 2015 11:43 Uhr, "Robert Schetterer" rs@sys4.de schrieb:
Am 12.10.2015 um 10:36 schrieb fe@fe8.de:
Hallo,
ist
"smtp_tls_security_level = may"
wie kann ich im *SMTPD postfix Sender* (der .conf) festlegen falls
"postfix/smtpd[4570]: warning: TLS library problem: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO::s3_srvr.c:1349:" oder "...unsupported protocol..."
auftritt, entweder a) der Sender es unverschluesselt wieder versucht, oder b) der Sender auf jeden Fall abbricht und der Nutzer benachrichtigt wird?
Anschlussfrage: Wenn der Server alternativ ein 454 zurueck gibt, wie kann ich im Sender dann das Verhalten a) bzw. b) differenzieren?
Danke und Gruesse,
fe
gugg mal genau hin
smtp_tls_security_level = may (
postfix/smtpd[4570]: warning
es geht also eigentlich um z.b
smtpd_use_tls = yes smtpd_tls_security_level = may
wie sehen denn die
smtpd_... Einstellungen bei dir aus ?
und per se solltest du nichts konfigurieren was einen unverschluesselten Empfang verhindert das waere sinnvoll wenn es mit dem Sender sozusagen abgesprochen ist.
Normal waere, du bietest verschluesselten Empfang unter gewissen Bedingungen an ( Verfahren usw ), die Partner einigen sich auto darauf Verschluesselung zu nutzen, wenn das nicht geht wird auto unverschluesselt uebertragen...., vermutlich hast du SSLv3 verboten bzw kein gemeinsamer cipher wurde gefunden, wenn es dir wichtig ist kannst du das evtl per sender host wieder einschalten, such mal welcher host das war
siehe
https://sys4.de/de/blog/2014/10/21/poodle-bug-postfix-sslv3-deaktivieren
Best Regards MfG Robert Schetterer
-- [*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein
Am 12.10.2015 um 11:49 schrieb fe@fe8.de:
Hallo Robert,
Danke! Ich wuerde gerne nur dann den "unverschluesselte" Wiederholungssendeversuch machen, wenn der Server wirklich kein TLS unterstuetzt, aber NICHT wenn die Fehler "no shared cipher" bzw. "unsupported protocol", 454 im *ersten* Versuch aufgetreten sind.
Ein schwieriges Problem? Unloesbar?
Danke und Gruesse,
fe.
Bitte nochmal lesen......
es gibt Einstellungen wenn du der Sender bist = smtp und welche wenn du der Empfaenger bist = smtpd
smtp vs smtpd ......
dein log Auszug betrifft den Empfangsteil deines Servers smtpd
wenn du bei den "empfohlenen" Einstellungen bleibst
bietet dein Server einem Sender via smtpd Verschluesselung auto an, wenn das nicht klappt wird unverschluesselt empfangen
Beim Versenden durch deinen Server smtp lauft es vom Prinzip her genauso
du kannst dieses sinnvolle Verhalten z.b mit smtp_tls_policy_maps per Host/Maildomain beieinflussen
so wie ich deine Frage verstehe ist alles bestens mit den defaults
ansonsten kannst du eben z.b level dane benutzen etc, und/oder auch div transports definieren die zusaetzlich auch noch andere Einstellungen beim Einliefern nutzen koennen
http://www.postfix.org/TLS_README.html
hat Beispiele
- Oktober 2015 11:43 Uhr, "Robert Schetterer" rs@sys4.de schrieb:
Am 12.10.2015 um 10:36 schrieb fe@fe8.de:
Hallo,
ist
"smtp_tls_security_level = may"
wie kann ich im *SMTPD postfix Sender* (der .conf) festlegen falls
"postfix/smtpd[4570]: warning: TLS library problem: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO::s3_srvr.c:1349:" oder "...unsupported protocol..."
auftritt, entweder a) der Sender es unverschluesselt wieder versucht, oder b) der Sender auf jeden Fall abbricht und der Nutzer benachrichtigt wird?
Anschlussfrage: Wenn der Server alternativ ein 454 zurueck gibt, wie kann ich im Sender dann das Verhalten a) bzw. b) differenzieren?
Danke und Gruesse,
fe
gugg mal genau hin
smtp_tls_security_level = may (
postfix/smtpd[4570]: warning
es geht also eigentlich um z.b
smtpd_use_tls = yes smtpd_tls_security_level = may
wie sehen denn die
smtpd_... Einstellungen bei dir aus ?
und per se solltest du nichts konfigurieren was einen unverschluesselten Empfang verhindert das waere sinnvoll wenn es mit dem Sender sozusagen abgesprochen ist.
Normal waere, du bietest verschluesselten Empfang unter gewissen Bedingungen an ( Verfahren usw ), die Partner einigen sich auto darauf Verschluesselung zu nutzen, wenn das nicht geht wird auto unverschluesselt uebertragen...., vermutlich hast du SSLv3 verboten bzw kein gemeinsamer cipher wurde gefunden, wenn es dir wichtig ist kannst du das evtl per sender host wieder einschalten, such mal welcher host das war
siehe
https://sys4.de/de/blog/2014/10/21/poodle-bug-postfix-sslv3-deaktivieren
Best Regards MfG Robert Schetterer
-- [*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein
Best Regards MfG Robert Schetterer
Hallo,
12. Oktober 2015 14:15 Uhr, "Robert Schetterer" rs@sys4.de schrieb:
Am 12.10.2015 um 11:49 schrieb fe@fe8.de:
Danke! Ich wuerde gerne nur dann den "unverschluesselte" Wiederholungssendeversuch machen, wenn der Server wirklich kein TLS unterstuetzt, aber NICHT wenn die Fehler "no shared cipher" bzw. "unsupported protocol", 454 im *ersten* Versuch aufgetreten sind.
bietet dein Server einem Sender via smtpd Verschluesselung auto an, wenn das nicht klappt wird unverschluesselt empfangen
Beim Versenden durch deinen Server smtp lauft es vom Prinzip her genauso
Das sehe ich auch so:
Ich moechte jetzt z.B. beim Senden und Empfangen smtp/smtpd in der Auto (may) Variante festlegen ob ein Sende/Empfangsversuch (dann unverschluesselt) nur dann erlaubt/versucht wird, wenn a) Server oder auch Klient entwender gar kein TLS unterstuetzen, ODER b) es zu einem "no shared cipher" bzw. "unsupported protocol", 454 Fehler davor gekommen ist.
Ich moechte also z.B. nur a) zulassen, aber auf gar keinen Fall b).
Warum? Dadurch moechte ich verhindern, dass wenn ein bestimmtes Protokoll (TLS-Version), Chiffre, an einer der beiden Stellen nicht unterstuetzt wird, es zu keiner Klartext Uebermittlung im zweiten Versuch kommt, sondern eben NUR wenn gar kein TLS unterstuetzt wird.
Ich denke so etwas ist in Postfix unmoeglich?
Danke und Gruesse,
fe
Am 12.10.2015 um 16:07 schrieb fe@fe8.de:
Hallo,
- Oktober 2015 14:15 Uhr, "Robert Schetterer" rs@sys4.de schrieb:
Am 12.10.2015 um 11:49 schrieb fe@fe8.de:
Danke! Ich wuerde gerne nur dann den "unverschluesselte" Wiederholungssendeversuch machen, wenn der Server wirklich kein TLS unterstuetzt, aber NICHT wenn die Fehler "no shared cipher" bzw. "unsupported protocol", 454 im *ersten* Versuch aufgetreten sind.
bietet dein Server einem Sender via smtpd Verschluesselung auto an, wenn das nicht klappt wird unverschluesselt empfangen
Beim Versenden durch deinen Server smtp lauft es vom Prinzip her genauso
Das sehe ich auch so:
Ich moechte jetzt z.B. beim Senden und Empfangen smtp/smtpd in der Auto (may) Variante festlegen ob ein Sende/Empfangsversuch (dann unverschluesselt) nur dann erlaubt/versucht wird, wenn a) Server oder auch Klient entwender gar kein TLS unterstuetzen, ODER b) es zu einem "no shared cipher" bzw. "unsupported protocol", 454 Fehler davor gekommen ist.
Ich moechte also z.B. nur a) zulassen, aber auf gar keinen Fall b).
Warum? Dadurch moechte ich verhindern, dass wenn ein bestimmtes Protokoll (TLS-Version), Chiffre, an einer der beiden Stellen nicht unterstuetzt wird, es zu keiner Klartext Uebermittlung im zweiten Versuch kommt, sondern eben NUR wenn gar kein TLS unterstuetzt wird.
Ich denke so etwas ist in Postfix unmoeglich?
Ich bin mir nicht sicher ob es ueberhaupt zu einem 454 kommt ( waere mir neu und wuerde ich auch erstmal als falsch ansehen), je nach tls log level wirst du nur eine Warning sehen, der Mechanismus braucht auch keinen error code, denn "may" gibt ja schon vor, verschluesselt zuerst, wenn das nicht funktioniert eben unverschluesselt, angewendet werden dabei die Verfahren die du als default fuer "may" definierst. Die kannst du natuerlich einstellen wie du willst.
Wie gesagt du kannst das aber auch fuer host/domain "besonders" definieren
ich hatte da auch mal was mit verify geschrieben
https://sys4.de/de/blog/2014/03/02/recipient-verification-tls-mandatory-modu...
ausserdem koennte es sein das ab postfix 3.x ein paar Moeglichkeiten dazugekommen sind .... evtl wartest du mal auf weitere Antworten
Danke und Gruesse,
fe
Best Regards MfG Robert Schetterer
participants (2)
-
fe@fe8.de -
Robert Schetterer