TLS library problem: error:1408F10B:SSL routines:ssl3_get_record:wrong version number

Gerald Galster list+postfixbuch at gcore.biz
Sa Sep 18 17:40:17 CEST 2021


>>>> Ach ja, die verbinden sich an Port 587 Submission.
>> 
>>> Grundsätzlich würde ich für das Versenden von E-Mails durch Endbenutzer 
>>> keine opportunistische Verschlüsselung mehr über den Port 587 benutzen 
>>> sondern auf Port 465 zurückgreifen. Da ist die Verschlüsselung nämlich 
>>> verpflichtend.
>> 
>> Die Verschlüsselung auf Port 587 ist nicht opportunistisch, sondern
>> verpflichtend. Alles andere ist fehlkonfiguriert/-informiert.
> 
> Hmm, manchmal sollte man erst nachlesen und dann posten:
> STARTTLS auf Port 587 scheint tatsächlich nur den Status "may" zu haben :-/
> Allerdings bringt Postfix in seiner default-Konfiguration das
> verpflichtende STARTTLS mit.

Falls Du smtpd_tls_auth_only meinst, das sollte man für submission zwar
aktivieren, ist aber keine Standardeinstellung:

http://www.postfix.org/postconf.5.html#smtpd_tls_auth_only

So wie ich es verstanden hab bedeutet opportunistisch in dem Zusammenhang,
dass STARTTLS verwendet wird wenn es angeboten wird. Das wäre ähnlich dem
tls security level "may" bei ausgehenden Verbindungen (postfix als Client),
der aber nur schaut ob es ein Zertifikat gibt und weder CA noch Common Name
verifiziert.

Als Server spielt der security level meist keine Rolle da der E-Mail Client
das Zertifikat überprüft (CA + Common-/Subject alternative name). Seitens
postfix hätte das nur Bedeutung wenn sich der E-Mail Client über ein
TLS-Zertifikat identifiziert (TLS client auth), quasi als Ersatz für
Username/Password.

> Wie dem auch sei:
> Beide Ports sind ok - sofern korrekt konfiguriert, aber der Einheitlichkeit
> wegen wird mittlerweile tatsächlich 465 empfohlen - und weil einige
> Implementationen von STARTTLS (aber wohl nicht bei Postfix) fehlerhaft sind.


Es war wohl möglich weitere Befehle in das STARTTLS Paket zu schmuggeln,
die danach im TLS-Context ausgeführt wurden.

https://lwn.net/Articles/866481/

Viele Grüße
Gerald


Mehr Informationen über die Mailingliste Postfixbuch-users