[Postfixbuch-users] TLS library problem unknown protocol

Kai Fürstenberg kai_postfix at fuerstenberg.ws
Mi Okt 16 10:42:16 CEST 2013 

Am 16.10.2013 10:16, schrieb Jens Adam:
> * Kai Fürstenberg <kai_postfix at fuerstenberg.ws>:
> 
>> Hi,
>>
>> ich habe gestern folgenden Log-Eintrag gefunden:
>>
>> Oct 15 15:56:17 xserv01 postfix/smtpd[6797]: connect from
>> unknown[58.56.136.163]
>> Oct 15 15:57:20 xserv01 postfix/smtpd[6797]: SSL_accept error from
>> unknown[58.56.136.163]: -1
>> Oct 15 15:57:20 xserv01 postfix/smtpd[6797]: warning: TLS library
>> problem: 6797:error:140760FC:SSL
>> routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:628:
>> Oct 15 15:57:20 xserv01 postfix/smtpd[6797]: lost connection after
>> STARTTLS from unknown[58.56.136.163]
>>
>> Das war bisher das erste Auftreten.
>>
>> Kennt das einer? Kann mir das mal jemand Übersetzen? Google konnte mir
>> leider überhaupt keine Auskunft geben.
>>
>> Gruß
>> Kai
> 
> Moin.
> 
> Du meinst sowas hier?
> 
>> Oct  6 23:32:25 intern postfix/smtpd[30544]: SSL_accept error from
>> unknown[58.56.136.163]: -1
>> Oct  6 23:32:25 intern postfix/smtpd[30544]: warning: TLS library
>> problem: 30544:error:140760FC:SSL
>> routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:628:
>> Oct  6 23:32:25 intern postfix/smtpd[30544]: lost connection after
>> STARTTLS from unknown[58.56.136.163]
> 
> (man beachte die gleiche IP)
> 
> Ich schätze mal, dass da ein China-Spammer irgendwelchen Mist gebaut
> hat, denn

Dass der aus China kommt, habe ich schon mitbekommen ;-)
Insofern ist der Client-Rechner mir aber so was von egal ... Vor allem,
dieser Server ist kein MX ist und lässt nur authentifizierte User oder
das eigene Netzwerk zu. Ging auch nur ums grundsätzliche.

> http://git.openssl.org/gitweb/?p=openssl.git;a=blob;f=ssl/s23_srvr.c;h=9d47c22cb86e98f70e57611a26caae9a6ba9a4ac;hb=HEAD#l632
> ist da ziemlich eindeutig.

632         if ((type < 1) || (type > 3))
633                 {
634                 /* bad, very bad */
635
SSLerr(SSL_F_SSL23_GET_CLIENT_HELLO,SSL_R_UNKNOWN_PROTOCOL);
636                 goto err;
637                 }

Ja, das ist wirklich eindeutig :-) . Zeile 634 ist da besonders informativ.

Ich kann zwar überhaupt kein C aber ich würde daraus entnehmen, dass der
irgendetwas versucht zu verwenden, nur nicht SSLv2 oder SSLv3/TLSv1.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Mehr Informationen über die Mailingliste Postfixbuch-users