Langsamer Versand, wo kommt SSL3 her?

Fr Apr 8 08:58:44 CEST 2022

Am 06.04.22 um 20:39 schrieb Stefan G. Weichinger via Postfixbuch-users:
> Am 06.04.22 um 16:29 schrieb Sandy Drobic:
>>
>>
>> Lasse Dich nicht von dem SSLv3 irritieren im Log, es wird ganz korrekt 
>> eine TLS 1.3 Verbindung ausgehandelt.
>> Das ist nur eine interne Bezeichnung von Postfix, die leider oft zu 
>> Irritationen führt.
> 
> OK, danke
> 
>> Der Vorgang scheint auch nur eine Sekunde zu dauern anfgefangen von 
>> "connect from" bis "status=sent"
>> Wo ist die große Verzögerung, die Du beklagst?
> 
> Ich sehe die Verzögerung im Thunderbird. Ich hab jetzt mal "journalctl 
> -f -u postfix" beobachtet und ein Mail versendet.
> 
> Es dauert vielleicht 2 Minuten, bis der connect sichtbar wird im 
> postfix. Dann geht es flott, korrekt.
> 
> postscreen? iptables und fail2ban hab ich gecheckt (ja, das würde wohl 
> keine Verzögerung geben, sondern eher ein dauerhaftes Blocken).
> 
> Die Verzögerung ist auch bei einem anderen User an einem anderen 
> Standort aufgetreten, daher eher keine Abhängigkeit von hier und zB 
> irgendwelchen Rules an meinem Standort (firewall, router etc, mein OS usw.)

Wenn ich versende, wird geloggt:

Apr 08 08:54:02 oc.oops.co.at postfix/submission/smtpd[6022]: 
initializing the server-side TLS engine

dann etwa 2 Minuten bis es hier dann wirklich durch geht:

Apr 08 08:56:02 oc.oops.co.at postfix/submission/smtpd[6022]: connect 
from unknown[2001:470:51e4:0:c577:c9ad:a9e5:216b]
Apr 08 08:56:02 oc.oops.co.at postfix/submission/smtpd[6022]: setting up 
TLS connection from unknown[2001:470:51e4:0:c577:c9ad:a9e5:216b]
Apr 08 08:56:02 oc.oops.co.at postfix/submission/smtpd[6022]: 
unknown[2001:470:51e4:0:c577:c9ad:a9e5:216b]: TLS cipher list 
"ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384"
Apr 08 08:56:02 oc.oops.co.at postfix/submission/smtpd[6022]: 
SSL_accept:before SSL initialization
Apr 08 08:56:02 oc.oops.co.at postfix/submission/smtpd[6022]: 
SSL_accept:before SSL initialization
Apr 08 08:56:02 oc.oops.co.at postfix/submission/smtpd[6022]: 
unknown[2001:470:51e4:0:c577:c9ad:a9e5:216b]: Decrypting session ticket, 
key expiration: 1649400877
Apr 08 08:56:02 oc.oops.co.at postfix/submission/smtpd[6022]: 
SSL_accept:SSLv3/TLS read client hello
Apr 08 08:56:02 oc.oops.co.at postfix/submission/smtpd[6022]: 
SSL_accept:SSLv3/TLS write server hello
Apr 08 08:56:02 oc.oops.co.at postfix/submission/smtpd[6022]: 
SSL_accept:SSLv3/TLS write change cipher spec
Apr 08 08:56:02 oc.oops.co.at postfix/submission/smtpd[6022]: 
SSL_accept:TLSv1.3 write encrypted extensions
Apr 08 08:56:02 oc.oops.co.at postfix/submission/smtpd[6022]: 
SSL_accept:SSLv3/TLS write finished
Apr 08 08:56:02 oc.oops.co.at postfix/submission/smtpd[6022]: 
SSL_accept:TLSv1.3 early data
Apr 08 08:56:02 oc.oops.co.at postfix/submission/smtpd[6022]: 
SSL_accept:TLSv1.3 early data
Apr 08 08:56:02 oc.oops.co.at postfix/submission/smtpd[6022]: 
SSL_accept:SSLv3/TLS read finished

Kann das mit IPv4 vs. v6 zu tun haben? Bislang klappte es mit beiden 
Stacks sauber.