[CentOS-de] E-Mail made in Germany vs. CentOS 5: tlsv1 alert insufficient security

Tilman Schmidt t.schmidt at phoenixsoftware.de
Mi Aug 14 08:10:57 UTC 2013


Hallo Liste,

ich habe hier ein merkwürdiges Problem, das verdächtig danach
aussieht, als ob es mit der Marketing-Initiative von Telekom,
GMX und web.de zu tun hätte:

Ich betreibe diverse Mail-Domains, verteilt auf zwei Server,
einer mit CentOS 5, der andere mit CentOS 6. Ansonsten sind
beide gleich konfiguriert: Sendmail, Cyrus IMAP, Squirrelmail,
ein CACert-SSL-Zertifikat für alles und opportunistische
SMTP-Verschlüsselung. Das hat auch alles prima funktioniert.
Wer konnte hat verschlüsselt übertragen, die anderen (darunter
GMX und web.de) unverschlüsselt.

Seit ca. 2013-08-05 14:30 schlugen dann auf dem CentOS-5-Server
erst vereinzelt, dann durchgehend, Verbindungsversuche von
mout.web.de und mout.gmx.net so fehl:

> Aug  5 15:05:44 gimli sendmail[15250]: STARTTLS=server, error: accept failed=0, SSL_error=1, errno=0, retry=-1
> Aug  5 15:05:44 gimli sendmail[15250]: STARTTLS=server: 15250:error:1409442F:SSL routines:SSL3_READ_BYTES:tlsv1 alert insufficient security:s3_pkt.c:1092:SSL alert number 71
> Aug  5 15:05:44 gimli sendmail[15250]: r75D5gfM015250: mout.gmx.net [212.227.17.20] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA

Die sendenden Server haben die Zustellung auch nicht unverschlüsselt
wiederholt, sondern die Mails als unzustellbar zurückgeschickt.
Erst seit ich STARTTLS für diese Server in der Access-DB mittels

Srv_Features:mout.web.de        S
Srv_Features:mout.gmx.net       S

gesperrt habe, bekommen die auf dem CentOS-5-Server liegenden
Domains wieder Mail von GMX und web.de.

Der CentOS-6-Server hat hingegen keine solchen Probleme:

> Aug  9 19:42:32 posthamster sendmail[9072]: STARTTLS=server, relay=mout.gmx.net [212.227.17.20], version=TLSv1/SSLv3, verify=NOT, cipher=DHE-RSA-AES128-SHA, bits=128/128

Natürlich unterscheiden sich die Paketversionen:

          gimli              posthamster
CentOS    5.9                6.4
sendmail  8.13.8-8.1.el5_7   8.14.4-8.el6.x86_64
openssl   0.9.8e-26.el5_9.1  1.0.0-27.el6_4.2.x86_64

Ideen?

aTdHvAaNnKcSe
Tilman

-- 
Tilman Schmidt
Phoenix Software GmbH
Bonn, Germany