STARTTLS SSLv3
gnitzsche
gnitzsche at netcologne.de
Di Sep 24 09:32:17 CEST 2024
On 2024-09-24 09:01, Frank Kirschner via Postfixbuch-users wrote:
> Am 24.09.2024 um 08:47 schrieb gnitzsche via Postfixbuch-users:
>
> On 2024-09-24 07:43, Frank Kirschner via Postfixbuch-users wrote:
>
> <-snip->
>
> Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: warning: TLS library
> problem: 2767072:error:1408A0C1:SSL routines:ssl3_get_client_hello:no
> shared cipher:s3_srvr.c:1435:
>
> Denke, das liegt an dem "no shared cipher".
>
> Hier kommt mail1.gothaer.de an mit TLSv1.2 mit Cipher
> DHE-RSA-AES256-GCM-SHA384 (256/256 bits)
>
> <-snip->
Hmm, folgende cipherlist habe ich konfiguriert:
tls_medium_cipherlist =
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
<-snip->
Habe ich irgend etwas falsch angegeben?
postfix sagt dazu:
medium
Enable "MEDIUM" grade or better OpenSSL ciphers. The underlying
cipherlist is specified via the tls_medium_cipherlist [1] configuration
parameter, which you are strongly encouraged not to change.
tls_medium_cipherlist (default: see "postconf -d" output)
..You are strongly encouraged not to change this setting.
openssl s_client -connect farm**.de:25 -starttls smtp -cipher
DHE-RSA-AES256-GCM-SHA384
schlägt fehl; mit ECDHE-ECDSA-AES256-GCM-SHA384 funktioniert es..
Ich empfehle, die Konfig für die cipherlist (und evtl. excludes ?) genau
zu prüfen
bzw. den Default herzustellen. Mal bei postconf -n gegen den Default
postconf -d die
tls-Zeilen genau prüfen.
Gruß
Gunther
--
Links:
------
[1] https://www.postfix.org/postconf.5.html#tls_medium_cipherlist
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240924/88f0429c/attachment.htm>
Mehr Informationen über die Mailingliste Postfixbuch-users