[CentOS-de] [SOLVED] E-Mail made in Germany vs. CentOS 5: tlsv1 alert insufficient security

Tilman Schmidt t.schmidt at phoenixsoftware.de
Di Aug 27 11:05:10 UTC 2013 

Hallo Liste,

Am 14.08.2013 10:10, schrieb /me:
> Ich betreibe diverse Mail-Domains, verteilt auf zwei Server,
> einer mit CentOS 5, der andere mit CentOS 6. Ansonsten sind
> beide gleich konfiguriert: Sendmail, Cyrus IMAP, Squirrelmail,
> ein CACert-SSL-Zertifikat für alles und opportunistische
> SMTP-Verschlüsselung. [...]
> Seit ca. 2013-08-05 14:30 schlugen dann auf dem CentOS-5-Server
> erst vereinzelt, dann durchgehend, Verbindungsversuche von
> mout.web.de und mout.gmx.net so fehl:
> 
>> Aug  5 15:05:44 gimli sendmail[15250]: STARTTLS=server, error: accept failed=0, SSL_error=1, errno=0, retry=-1
>> Aug  5 15:05:44 gimli sendmail[15250]: STARTTLS=server: 15250:error:1409442F:SSL routines:SSL3_READ_BYTES:tlsv1 alert insufficient security:s3_pkt.c:1092:SSL alert number 71
>> Aug  5 15:05:44 gimli sendmail[15250]: r75D5gfM015250: mout.gmx.net [212.227.17.20] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
[...]
> Der CentOS-6-Server hat hingegen keine solchen Probleme:
> 
>> Aug  9 19:42:32 posthamster sendmail[9072]: STARTTLS=server, relay=mout.gmx.net [212.227.17.20], version=TLSv1/SSLv3, verify=NOT, cipher=DHE-RSA-AES128-SHA, bits=128/128
> 
> Natürlich unterscheiden sich die Paketversionen:
> 
>           gimli              posthamster
> CentOS    5.9                6.4
> sendmail  8.13.8-8.1.el5_7   8.14.4-8.el6.x86_64
> openssl   0.9.8e-26.el5_9.1  1.0.0-27.el6_4.2.x86_64

Des Rätsels Lösung findet sich hier:

http://web.gxis.de/tiki/tiki-view_blog_post.php?postId=159

Mit dem dort beschriebenen Workaround einer Diffie-Hellman-
Konfigurationsdatei für Sendmail funktioniert TLS auch mit
GMX und web.de.

Es lag also an der Sendmail-Version bzw. an einem Bug, der
in Sendmail 8.14.4 behoben ist und in 8.13.8 noch nicht.

Danke allen Tippgebern on- und offlist.

-- 
Tilman Schmidt
Phoenix Software GmbH
Bonn, Germany


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 261 bytes
Beschreibung: OpenPGP digital signature
URL         : http://lists.centos.org/pipermail/centos-de/attachments/20130827/58ced73f/attachment.bin