[CentOS-de] E-Mail made in Germany vs. CentOS 5: tlsv1 alert insufficient security

Tilman Schmidt t.schmidt at phoenixsoftware.de
Di Aug 20 10:42:59 UTC 2013


Hallo Klaus,

Am 20.08.2013 09:43, schrieb Klaus Tachtler:
>>
>> Tja, leider habe ich keinen Zugriff auf die Mailausgangsserver
>> von GMX und web.de, um diese Einstellung dort vorzunehmen. :-)
> 
> Nun, das ist auch nicht notwendig, wenn DU (so nahm ich an) Dein
> eigener MailServer auf Deinem CentOS5-Server ein Postfix ist.

Das verstehe ich nicht. Wie soll ich (selbst wenn ich Postfix hätte)
auf meinem Server beeinflussen, was der sendende Server macht, wenn
die SSL-Aushandlung fehlschlägt?

>> Will sagen: auf meinem eigenen Server (der übrigens kein Postfix
>> einsetzt) habe ich keinen Einfluss darauf, wie die Server bei
>> GMX und web.de (die übrigens soweit ich sehe auch kein Postfix
>> einsetzen) auf das Fehlschlagen der SSL-Aushandlung reagieren.
> 
> Du hast auf dem CentOS5-Server keinen Postfix im Einsatz? Was hast
> Du den im Einsatz?

Wie ich schon im Ausgangsposting des Threads schrieb:
Sendmail, Cyrus IMAP, Squirrelmail
Aber das ist ja nur ein Nebenproblem. Ich bin sicher, es gibt auch
bei Sendmail eine Option, die dem "soft_bounce = yes" von Postfix
entspricht. Ich sehe nur nicht, was das bringen sollte, da mein
Server ja gar nicht so weit kommt, ein Bounce generieren zu wollen.
Er sieht nur einen Connect, STARTTLS und eine fehlschlagende
SSL-Aushandlung, mehr nicht.

>> Vielleicht sollte ich die Marketing-Lösung wählen: ich behalte
>> die Einstellung in der Access-DB des CentOS-5-Servers bei, dass
>> mout.web.de und mout.gmx.net kein STARTTLS angeboten wird, und
>> sage meinen Kunden, dass web.de und GMX leider die verschlüsselte
>> Übertragung zu uns nicht unterstützen. :-)
> 
> Das wäre aber nicht ganz richtig, da GMX und Web.de das ja tun, nur
> Dein CentOS5-Server es nicht annimmt...

Ist das so? Für mich sieht es eher so aus, als ob mein CentOS-5-
Server es durchaus täte, nur GMX und web.de die von ihm angebotene
Verschlüsselung als "insufficient" ablehnen. Aber damit sind wir
wieder bei der ungeklärten Frage, was die Meldung denn nun
eigentlich wirklich bedeutet. Vielleicht sollte ich mir mal die
OpenSSL-Quellen besorgen und nachschauen.

Mit allen anderen Sendern funktioniert es jedenfalls schon seit
Jahren und nach wie vor völlig problemlos:

[ts at gimli ~]$ grep -c "STARTTLS=server" /var/log/maillog*
/var/log/maillog:1753
/var/log/maillog.1:8462
/var/log/maillog.2:19844
/var/log/maillog.3:34259
/var/log/maillog.4:7279
[...]

Es sind nur mout.web.de und mout.gmx.net, die rumzicken.

Grüße,
Tilman

-- 
Tilman Schmidt
Phoenix Software GmbH
Bonn, Germany

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 261 bytes
Beschreibung: OpenPGP digital signature
URL         : http://lists.centos.org/pipermail/centos-de/attachments/20130820/db90eeec/attachment.bin