SSL routines:ssl3_get_record:wrong version number

A. Schulze andreas.schulze at datev.de
Fr Sep 17 17:17:46 CEST 2021


Am 16.09.2021 um 15:33 schrieb Andreas:

> ich habe ein Dist-Upgrade von Debian-Buster auf Bullseyes gemacht und nach einem Reboot melden die Mail-Benutzer, dass an ihren Clients ein Timeout stattfindet und kein Mailabgleich mehr möglich ist.


> smtpd_tls_mandatory_protocols = !SSLv3
> smtpd_tls_protocols = !SSLv3

mit der Einstellung ist postfix-Seitig TLS1.0 oder höher aktiv. Vermutlich hast Du Clients,
die nun nicht mehr funktionieren und welche, die kein Problem haben.
Die, mit Problem, siehst Du im Log. Die verwenden vermutlich noch TLS1.0

Schau mal in Deine /etc/ssl/openssl.cnf. Dort wird **systemweit** eine minimale TLS-Version festgelegt.
Daran kommt auch Postfix nicht vorbei, selbst wenn man smtpd_tls_mandatory_protocols explizit auf TLSv1 stellt.
Dann ist die Schnittmenge 0 und TLS geht gar nicht mehr.

Stretch: https://sources.debian.org/src/openssl/1.1.0l-1%7Edeb9u1/apps/openssl.cnf/ (da fehlt die Einstellung noch)
und hier ist der Schalter, den ich meine
Buster: https://sources.debian.org/src/openssl/1.1.1d-0+deb10u6/apps/openssl.cnf/#L361
Bullseye: https://sources.debian.org/src/openssl/1.1.1k-1/apps/openssl.cnf/#L361

-> https://lists.debian.org/debian-devel-announce/2017/08/msg00004.html
-> https://tk-sls.de/wp/5200


Andreas



Mehr Informationen über die Mailingliste Postfixbuch-users