STARTTLS SSLv3
gnitzsche
gnitzsche at netcologne.de
Di Sep 24 08:47:28 CEST 2024
On 2024-09-24 07:43, Frank Kirschner via Postfixbuch-users wrote:
> Hallo zusammen,
>
> Ich kann von einer großen Versicherung keine Emails empfangen (Postfix
> 2.10.1):
>
> Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: warning: TLS library
> problem: 2767072:error:1408A0C1:SSL routines:ssl3_get_client_hello:no
> shared cipher:s3_srvr.c:1435:
> Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: lost connection after
> STARTTLS from mail1.gothaer.de[194.126.228.24]
> Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: disconnect from
> mail1.gothaer.de[194.126.228.24]
>
> Der Grund hierfür ist, dass meine SSL Konfig so aussieht:
>
> smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
> smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
> smtpd_tls_mandatory_ciphers = medium
>
> Ich interpretiere das Problem daher, dass der sendende MTA SSLv3
> verwendet, welches ich ja nicht erlaube.
> OpenSSL ist wie folgt compiliert:
>
> [op1 at farm11]# openssl ciphers -v | awk '{print $2}' | sort | uniq
> SSLv3
> TLSv1.2
>
> Gibt es eine Möglichkeit nur für diesen sendenden Host SSLv3 zu
> erlauben?
> Er scheint auch kein Fallback auf unverschlüsselt konfiguriert zu
> haben, da ich smtpd_tls_mandatory_ciphers = medium eingestellt habe und
> somit die Chance dazu wäre.
>
> Oder bin ich auf einem komplett falschen Weg?
>
> lg Frank
Denke, das liegt an dem "no shared cipher".
Hier kommt mail1.gothaer.de an mit TLSv1.2 mit Cipher
DHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Gruß,
Gunther
--
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240924/61610ade/attachment.htm>
Mehr Informationen über die Mailingliste Postfixbuch-users