[CentOS-de] E-Mail made in Germany vs. CentOS 5: tlsv1 alert insufficient security
Klaus Tachtler
klaus at tachtler.net
Do Aug 22 12:02:22 UTC 2013
Hallo Tilman,
> Hallo Klaus,
>
> Am 20.08.2013 17:10, schrieb Klaus Tachtler:
>>
>>> [...] Ich bin sicher, es gibt auch
>>> bei Sendmail eine Option, die dem "soft_bounce = yes" von Postfix
>>> entspricht. Ich sehe nur nicht, was das bringen sollte, da mein
>>> Server ja gar nicht so weit kommt, ein Bounce generieren zu wollen.
>>> Er sieht nur einen Connect, STARTTLS und eine fehlschlagende
>>> SSL-Aushandlung, mehr nicht.
>>
>> Nun, was ich meinte, war die Antwort auf die Möglichkeit mal ein neues
>> Zertifikat auszuprobieren und dabei nicht alle Kunden e-Mails die in der
>> Zeit eingehen würden zu verlieren.
>
> Schon klar. Aber genau das ginge eben nur durch Eingriff auf Seiten
> web.de bzw. GMX.
>
> Ablauf:
>
> 1. mout.web.de findet im DNS meinen CentOS-5-Server mail.pxnet.com
> als MX für eine meiner Kundendomains.
>
> 3. mout.web.de baut eine TCP-Verbindung zu mail.pxnet.com Port 25 auf.
>
> 4. mail.pxnet.com bietet im Banner ESMTP an.
>
> 5. mout.web.de sendet EHLO.
>
> 6. mail.pxnet.com bietet in der Antwort STARTTLS an.
>
> 7. mout.web.de sendet STARTTLS.
>
> 8. Die SSL-Aushandlung schlägt (warum auch immer) mit
> "tlsv1 alert insufficient security" fehl.
Ich bin mir nicht sicher, es wäre auszuprobieren - wenn an dieser
Stelle Dein Mailserver mit einem 5xx-Code reagiert (ist das so?!?)
dann würde der soft_bounce = yes diesen in einen 4xx-Code
verwandeln. Wenn das mit dem 5xx-Code NICHT so ist, dann gebe ich
Dir recht, hast Du keine Einflussmöglichkeit.
> 9. mout.web.de generiert eine Unzustellbarkeitsnachricht.
>
> An welcher Stelle sollte da die Option "soft_bounce = yes" bzw.
> ihr Softbounce-Äquivalent greifen? Der letzte Punkt, an dem mein
> CentOS-5-Server noch Einfluss auf den Ablauf nehmen kann, ist 6.
> Das ist meine momentane Behelfslösung:
> "wenn sendender Server = mout.web.de, dann kein STARTTLS anbieten"
> Damit findet aber kein Test des Zertifikats statt.
>
> Wenn ich ein neues Zertifikat mit mout.web.de testen will, muss
> ich mout.web.de STARTTLS anbieten. Wenn der Test dann negativ
> ausfällt, lande ich ohne weitere Einflussmöglichkeit meines
> Servers bei Punkt 9, d.h. die Mail geht verloren.
>
> Grüße,
> Tilman
Grüße
Klaus.
--
------------------------------------------
e-Mail : klaus at tachtler.net
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------