[CentOS-de] E-Mail made in Germany vs. CentOS 5: tlsv1 alert insufficient security
Klaus Tachtler
klaus at tachtler.net
So Aug 18 12:39:42 UTC 2013
Hallo Tilman,
> Hallo Klaus,
>
> Am 16.08.2013 07:41, schrieb Klaus Tachtler:
>> da die Zertifikate unterschiedlich sind, wäre es einen Versuch
>> Wert, auch ein neueres Zertifikat von CACert.org für die CentOS 5
>> Maschine auszustellen (inklusive neuem Schlüssel mit 2048 Byte
>> Schlüssellänge)
>
> Die Schlüssellänge ist es ja offensichtlich nicht. Sonst dürfte es
> bei der CentOS-6-Maschine auch nicht funktionieren.
Die Schlüssellänge ist für den Fehler egal, jedoch für neue Schlüssel
sollten keine 1024, sonder mindestens 2048 Byte verwendet werden.
>> und es dann einfach mal ausprobieren? / CN=mail.pxnet.com
>>
>> Es kostet, ja außer ein bisschen Arbeit nichts, bei CACert.org!
>
> Das ist ja nicht alles. Jeder negativ ausfallende Test bedeutet den
> Verlust (mindestens) einer Kundenmail. Da würde ich schon gerne erst
> einmal wissen, ob es überhaupt am Zertifikat liegt oder an etwas ganz
> anderem, z.B. an der OpenSSL-Version.
Man kann postfix so konfigurieren, dass er immer bei einm Problem/Fehler
nicht mit einem 5xx, sonder 4xx Fehlercode reagiert. Dann solltest Du
auch testen
können, ohen e-Mails von Kunden (mit einem ordentlichen e-Mail setup)
zu verlieren.
Der Schalter in der /etc/main.cf heisst:
soft_bounce = yes
> Gibt es denn nirgends eine Info, was diese Fehlermeldung eigentlich
> bedeutet? Kann man also nur mit "trial and horror" versuchen, sie
> wegzubekommen?
Nein, ich habe auch bei google aktuell nichts dazu gefunden.
> Viele Grüße,
> Tilman
Grüße
Klaus.
--
------------------------------------------
e-Mail : klaus at tachtler.net
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------