[CentOS-de] E-Mail made in Germany vs. CentOS 5: tlsv1 alert insufficient security

[Tilman Schmidt]

Hallo Klaus,

Am 20.08.2013 17:10, schrieb Klaus Tachtler:
> 
>> [...] Ich bin sicher, es gibt auch
>> bei Sendmail eine Option, die dem "soft_bounce = yes" von Postfix
>> entspricht. Ich sehe nur nicht, was das bringen sollte, da mein
>> Server ja gar nicht so weit kommt, ein Bounce generieren zu wollen.
>> Er sieht nur einen Connect, STARTTLS und eine fehlschlagende
>> SSL-Aushandlung, mehr nicht.
> 
> Nun, was ich meinte, war die Antwort auf die Möglichkeit mal ein neues
> Zertifikat auszuprobieren und dabei nicht alle Kunden e-Mails die in der
> Zeit eingehen würden zu verlieren.

Schon klar. Aber genau das ginge eben nur durch Eingriff auf Seiten
web.de bzw. GMX.

Ablauf:

1. mout.web.de findet im DNS meinen CentOS-5-Server mail.pxnet.com
   als MX für eine meiner Kundendomains.

3. mout.web.de baut eine TCP-Verbindung zu mail.pxnet.com Port 25 auf.

4. mail.pxnet.com bietet im Banner ESMTP an.

5. mout.web.de sendet EHLO.

6. mail.pxnet.com bietet in der Antwort STARTTLS an.

7. mout.web.de sendet STARTTLS.

8. Die SSL-Aushandlung schlägt (warum auch immer) mit
   "tlsv1 alert insufficient security" fehl.

9. mout.web.de generiert eine Unzustellbarkeitsnachricht.

An welcher Stelle sollte da die Option "soft_bounce = yes" bzw.
ihr Softbounce-Äquivalent greifen? Der letzte Punkt, an dem mein
CentOS-5-Server noch Einfluss auf den Ablauf nehmen kann, ist 6.
Das ist meine momentane Behelfslösung:
"wenn sendender Server = mout.web.de, dann kein STARTTLS anbieten"
Damit findet aber kein Test des Zertifikats statt.

Wenn ich ein neues Zertifikat mit mout.web.de testen will, muss
ich mout.web.de STARTTLS anbieten. Wenn der Test dann negativ
ausfällt, lande ich ohne weitere Einflussmöglichkeit meines
Servers bei Punkt 9, d.h. die Mail geht verloren.

Grüße,
Tilman

-- 
Tilman Schmidt
Phoenix Software GmbH
Bonn, Germany