[CentOS-de] E-Mail made in Germany vs. CentOS 5: tlsv1 alert insufficient security
Klaus Tachtler
klaus at tachtler.net
Mi Aug 14 08:27:34 UTC 2013
Hallo Tilman,
> ich habe hier ein merkwürdiges Problem, das verdächtig danach
> aussieht, als ob es mit der Marketing-Initiative von Telekom,
> GMX und web.de zu tun hätte:
>
Evtl. versuchen die Provider Ihre Sicherheit durch "PFS" -
Perfect Forward Security zu verbessern.
...
> Der CentOS-6-Server hat hingegen keine solchen Probleme:
>
>> Aug 9 19:42:32 posthamster sendmail[9072]: STARTTLS=server,
>> relay=mout.gmx.net [212.227.17.20], version=TLSv1/SSLv3,
>> verify=NOT, cipher=DHE-RSA-AES128-SHA, bits=128/128
>
> Natürlich unterscheiden sich die Paketversionen:
>
> gimli posthamster
> CentOS 5.9 6.4
> sendmail 8.13.8-8.1.el5_7 8.14.4-8.el6.x86_64
> openssl 0.9.8e-26.el5_9.1 1.0.0-27.el6_4.2.x86_64
>
> Ideen?
Dies setzt voraus, das in openssl eine Schlüsselvereinbarung nach
Diffie-Hellmann möglich ist.
Mach mal 'openssl ciphers' in der shell, hier muss DHE-... oder noch
besser (aber unwahrscheinlich) ECDH-... als eine Möglichkeit auftauchen.
Vergleiche mal openssl auf CentOS 5 und CentOS 6...
Die Provider wollen nämlich "cipher=DHE-RSA-AES128-SHA, bits=128/128"
sprechen...
Grüße
Klaus.
--
------------------------------------------
e-Mail : klaus at tachtler.net
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------