starttls ohne ehlo/ESMTP erzwingen

Wolfram Greinert greinert at rz.uni-leipzig.de
Do Feb 28 11:16:40 CET 2019 

Hallo Klaus,

On Thu, Feb 28, 2019 at 10:45:29AM +0100, Klaus Tachtler wrote:
> Hallo Wolfram,
>
>> Hallo Liste,
>>
>> wir haben einen TK-Server, der bietet im Banner nur SMTP an und reagiert mit
>> der Meldung "500 Command unrecognized" auf ehlo <hostname>, helo <hostname>
>> ist okay. Er kann aber starttls ! Kann ich postfix beibringen, dass smtp mit
>> dem Server starttls benutzt, auch wenn der Server ESMTP/STARTTLS nicht
>
> Ganz sicher, das der TK-SERVER das kann, was sagt denn der Befehl:

ja, mit s_client getestet, aber auch komische Antworten :-)

>
> openssl s_client -connect TK-SERVER:25 -starttls smtp

CONNECTED(00000003)
didn't found starttls in server response, try anyway...     

......
Server certificate
-----BEGIN CERTIFICATE-----
......
SSL handshake has read 3084 bytes and written 745 bytes
New, TLSv1/SSLv3, Cipher is AES256-SHA
......

500 Command unrecognized    -> ist die Antwort auf "ehlo ......", dann kann
                               ich aber mit "helo ......" weitermachen

>
> aus?
>
> Wie sieht den ein Verbindung zu TK-SERVER via telnet aus, auch wenn
> kein STARTTLS in der Antwort auf des EHLO kommt?

ehlo kann die Kiste dummerweise nicht:

telnet <ip> 25
-> 220 TK-Server SMTP
ehlo ich
-> 500 Command unrecognized
helo ich
-> 250 TK-Server Hello x.x.x.x, pleased to meet you
starttls
-> 220 Ready to start TLS

ist alles schräg, die Kiste zeigt im Banner nicht an, dass Sie ESMTP kann,
auf ehlo wirft sie auch nur, dass sie das nicht kennt. Somit kann sie
angeblich nur SMTP und starttls dürfte nicht funktionieren, macht es aber.

Nun hatte ich gehofft, dass ich meinem postfix sagen kann: mach starttls, auch
wenn die Kiste behauptet, dass sie nur SMTP kann ...

Gruß

  Wolfram

>
> Was passiert, wenn Du einfach STARTTLS eingibst - siehe nachfolgendes
> Beispiel:
> --> STARTTLS <-- nach der EHLO-Antwort des TK-SERVER - hier nach 250 DSN? :
>
> # telnet mx1.tachtler.net 25
> Trying 88.217.171.167...
> Connected to mx1.tachtler.net.
> Escape character is '^]'.
> 220 mx1.tachtler.net ESMTP Postfix
> EHLO localhost
> 250-mx1.tachtler.net
> 250-PIPELINING
> 250-SIZE 20480000
> 250-ETRN
> 250-STARTTLS
> 250-ENHANCEDSTATUSCODES
> 250-8BITMIME
> 250 DSN
> STARTTLS
> 220 2.0.0 Ready to start TLS
> QUIT
> Connection closed by foreign host.
>
>> anbietet ? Wir haben:
>>
>> smtp_tls_security_level=encrypt
>> smtp_always_send_ehlo=no/yes
>>
>> versucht, klappt aber nicht:
>>
>> TLS is required, but was not offered by host x.x.x.x
>>
>> Viele Grüße
>>
>>   Wolfram
>>
>> --
>> ###########################################
>> #  Wolfram Greinert                       #
>> #  URZ der Uni Leipzig                    #
>> #  Abt. Infrastruktur                     #
>> #  04109  Leipzig, Augustusplatz 10       #
>> #                  Raum A 208             #
>> #  Tel.:  +49 341 97 33325                #
>> #  email: greinert at rz.uni-leipzig.de      #
>> ###########################################
>
>
> ----- Ende der Nachricht von Wolfram Greinert
> <greinert at rz.uni-leipzig.de> -----
>
>
> Grüße
> Klaus.
>
> --
>
> --------------------------------------------
> e-Mail  : klaus at tachtler.net
> Homepage: https://www.tachtler.net
> DokuWiki: https://dokuwiki.tachtler.net
> --------------------------------------------

Content-Description: Öffentlicher PGP-Schlüssel
[-- Error: unable to create PGP subprocess! --]


-- 
###########################################
#  Wolfram Greinert                       #
#  URZ der Uni Leipzig                    #
#  Abt. Infrastruktur                     #
#  04109  Leipzig, Augustusplatz 10       #
#                  Raum A 208             #
#  Tel.:  +49 341 97 33325                #
#  email: greinert at rz.uni-leipzig.de      #
###########################################

Mehr Informationen über die Mailingliste Postfixbuch-users