Hallo Klaus,
Am 20.08.2013 17:10, schrieb Klaus Tachtler:
[...] Ich bin sicher, es gibt auch bei Sendmail eine Option, die dem "soft_bounce = yes" von Postfix entspricht. Ich sehe nur nicht, was das bringen sollte, da mein Server ja gar nicht so weit kommt, ein Bounce generieren zu wollen. Er sieht nur einen Connect, STARTTLS und eine fehlschlagende SSL-Aushandlung, mehr nicht.
Nun, was ich meinte, war die Antwort auf die Möglichkeit mal ein neues Zertifikat auszuprobieren und dabei nicht alle Kunden e-Mails die in der Zeit eingehen würden zu verlieren.
Schon klar. Aber genau das ginge eben nur durch Eingriff auf Seiten web.de bzw. GMX.
Ablauf:
1. mout.web.de findet im DNS meinen CentOS-5-Server mail.pxnet.com als MX für eine meiner Kundendomains.
3. mout.web.de baut eine TCP-Verbindung zu mail.pxnet.com Port 25 auf.
4. mail.pxnet.com bietet im Banner ESMTP an.
5. mout.web.de sendet EHLO.
6. mail.pxnet.com bietet in der Antwort STARTTLS an.
7. mout.web.de sendet STARTTLS.
8. Die SSL-Aushandlung schlägt (warum auch immer) mit "tlsv1 alert insufficient security" fehl.
9. mout.web.de generiert eine Unzustellbarkeitsnachricht.
An welcher Stelle sollte da die Option "soft_bounce = yes" bzw. ihr Softbounce-Äquivalent greifen? Der letzte Punkt, an dem mein CentOS-5-Server noch Einfluss auf den Ablauf nehmen kann, ist 6. Das ist meine momentane Behelfslösung: "wenn sendender Server = mout.web.de, dann kein STARTTLS anbieten" Damit findet aber kein Test des Zertifikats statt.
Wenn ich ein neues Zertifikat mit mout.web.de testen will, muss ich mout.web.de STARTTLS anbieten. Wenn der Test dann negativ ausfällt, lande ich ohne weitere Einflussmöglichkeit meines Servers bei Punkt 9, d.h. die Mail geht verloren.
Grüße, Tilman