STARTTLS SSLv3
fk+postfix at celebrate.de
fk+postfix at celebrate.de
Di Sep 24 09:59:28 CEST 2024
Am 24.09.2024 um 09:32 schrieb gnitzsche via Postfixbuch-users:
>
> On 2024-09-24 09:01, Frank Kirschner via Postfixbuch-users wrote:
>
>>
>> Am 24.09.2024 um 08:47 schrieb gnitzsche via Postfixbuch-users:
>>>
>>> On 2024-09-24 07:43, Frank Kirschner via Postfixbuch-users wrote:
>>>
>>> <-snip->
>>>
>>> Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: warning: TLS
>>> library problem: 2767072:error:1408A0C1:SSL
>>> routines:ssl3_get_client_hello:no shared cipher:s3_srvr.c:1435:
>>>
>>> Denke, das liegt an dem "no shared cipher".
>>>
>>> Hier kommt mail1.gothaer.de an mit TLSv1.2 mit Cipher
>>> DHE-RSA-AES256-GCM-SHA384 (256/256 bits)
>>>
>>> <-snip->
>>>
>> Hmm, folgende cipherlist habe ich konfiguriert:
>>
>> tls_medium_cipherlist =
>> ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
>>
>> <-snip->
>>
>> Habe ich irgend etwas falsch angegeben?
>>
>
> postfix sagt dazu:
>
> *medium*
>
> Enable "MEDIUM" grade or better OpenSSL ciphers. The underlying
> cipherlist is specified via the tls_medium_cipherlist
> <https://www.postfix.org/postconf.5.html#tls_medium_cipherlist>
> configuration parameter, which you are strongly encouraged not to change.
>
> *tls_medium_cipherlist (default: see "postconf -d" output)*
>
> *..You are strongly encouraged not to change this setting. *
>
>
> openssl s_client -connect farm**.de:25 -starttls smtp -cipher
> DHE-RSA-AES256-GCM-SHA384
>
> schlägt fehl; mit ECDHE-ECDSA-AES256-GCM-SHA384 funktioniert es..
>
>
> Ich empfehle, die Konfig für die cipherlist (und evtl. excludes ?)
> genau zu prüfen
>
> bzw. den Default herzustellen. Mal bei postconf -n gegen den Default
> postconf -d die
>
> tls-Zeilen genau prüfen.
>
Danke Gunther, sehr gute Idee, Folgendes habe ich herausgefunden:
postconf -d
tls_medium_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:+RC4:@STRENGTH
postconf -n
tls_medium_cipherlist =
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
Ich habe jetzt mal in der Postfix Konfiguration die default
tls_medium_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:+RC4:@STRENGTH
aktiviert, leider immer noch das Problem.
Jedoch gibt mir:
# openssl s_client -connect localhost:25 -starttls smtp -cipher
DHE-RSA-AES256-GCM-SHA384
CONNECTED(00000003)
140338129299344:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3
alert handshake failure:s23_clnt.c:769:
---
*no peer certificate available*
---
No client certificate CA names sent
einen wertvollen Hinweis. Meine Zertifikate werden mit "tehydrated" von
Let's Encrypt erzeugt. Scheinbar fehlen da RSA ciphers. Werde da mal
nachforschen.
Danke für den Hinweis zur Fehlersuche.
lg Frank
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240924/8c5e98f0/attachment.htm>
Mehr Informationen über die Mailingliste Postfixbuch-users