Hallo Liste,
Am 14.08.2013 10:10, schrieb /me:
Ich betreibe diverse Mail-Domains, verteilt auf zwei Server, einer mit CentOS 5, der andere mit CentOS 6. Ansonsten sind beide gleich konfiguriert: Sendmail, Cyrus IMAP, Squirrelmail, ein CACert-SSL-Zertifikat für alles und opportunistische SMTP-Verschlüsselung. [...] Seit ca. 2013-08-05 14:30 schlugen dann auf dem CentOS-5-Server erst vereinzelt, dann durchgehend, Verbindungsversuche von mout.web.de und mout.gmx.net so fehl:
Aug 5 15:05:44 gimli sendmail[15250]: STARTTLS=server, error: accept failed=0, SSL_error=1, errno=0, retry=-1 Aug 5 15:05:44 gimli sendmail[15250]: STARTTLS=server: 15250:error:1409442F:SSL routines:SSL3_READ_BYTES:tlsv1 alert insufficient security:s3_pkt.c:1092:SSL alert number 71 Aug 5 15:05:44 gimli sendmail[15250]: r75D5gfM015250: mout.gmx.net [212.227.17.20] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
[...]
Der CentOS-6-Server hat hingegen keine solchen Probleme:
Aug 9 19:42:32 posthamster sendmail[9072]: STARTTLS=server, relay=mout.gmx.net [212.227.17.20], version=TLSv1/SSLv3, verify=NOT, cipher=DHE-RSA-AES128-SHA, bits=128/128
Natürlich unterscheiden sich die Paketversionen:
gimli posthamsterCentOS 5.9 6.4 sendmail 8.13.8-8.1.el5_7 8.14.4-8.el6.x86_64 openssl 0.9.8e-26.el5_9.1 1.0.0-27.el6_4.2.x86_64
Des Rätsels Lösung findet sich hier:
http://web.gxis.de/tiki/tiki-view_blog_post.php?postId=159
Mit dem dort beschriebenen Workaround einer Diffie-Hellman- Konfigurationsdatei für Sendmail funktioniert TLS auch mit GMX und web.de.
Es lag also an der Sendmail-Version bzw. an einem Bug, der in Sendmail 8.14.4 behoben ist und in 8.13.8 noch nicht.
Danke allen Tippgebern on- und offlist.