Retry-Verhalten des smtpd bei "no shared cipher", "unsupported protocol" bzw. 454 steuern

Robert Schetterer rs at sys4.de
Mo Okt 12 17:30:26 CEST 2015 

Am 12.10.2015 um 16:07 schrieb fe at fe8.de:
> Hallo,
> 
> 12. Oktober 2015 14:15 Uhr, "Robert Schetterer" <rs at sys4.de> schrieb:
> 
>> Am 12.10.2015 um 11:49 schrieb fe at fe8.de:
>>> Danke! Ich wuerde gerne nur dann den "unverschluesselte" Wiederholungssendeversuch machen, wenn der
>>> Server wirklich kein TLS unterstuetzt, aber NICHT wenn die Fehler "no shared cipher" bzw.
>>> "unsupported protocol", 454 im *ersten* Versuch aufgetreten sind.
>>
>> bietet dein Server einem Sender via smtpd Verschluesselung auto an, wenn
>> das nicht klappt wird unverschluesselt empfangen
>>
>> Beim Versenden durch deinen Server smtp lauft es vom Prinzip her genauso
> 
> Das sehe ich auch so:
> 
> Ich moechte jetzt z.B. beim Senden und Empfangen smtp/smtpd in der Auto (may) Variante festlegen ob
> ein Sende/Empfangsversuch (dann unverschluesselt) nur dann erlaubt/versucht wird, wenn a) Server
> oder auch Klient entwender gar kein TLS unterstuetzen, ODER b) es zu einem "no shared cipher" bzw.
> "unsupported protocol", 454 Fehler davor gekommen ist.
> 
> Ich moechte also z.B. nur a) zulassen, aber auf gar keinen Fall b).
> 
> Warum? Dadurch moechte ich verhindern, dass wenn ein bestimmtes Protokoll (TLS-Version), Chiffre,
> an einer der beiden Stellen nicht unterstuetzt wird, es zu keiner Klartext Uebermittlung im zweiten
> Versuch kommt, sondern eben NUR wenn gar kein TLS unterstuetzt wird.
> 
> Ich denke so etwas ist in Postfix unmoeglich?

Ich bin mir nicht sicher ob es ueberhaupt zu einem 454 kommt ( waere mir
neu und wuerde ich auch erstmal als falsch ansehen), je nach tls log
level wirst du nur eine Warning sehen, der Mechanismus braucht auch
keinen error code, denn "may" gibt ja schon vor, verschluesselt zuerst,
wenn das nicht funktioniert eben unverschluesselt, angewendet werden
dabei die Verfahren die du als default fuer "may" definierst. Die kannst
du natuerlich einstellen wie du willst.

Wie gesagt du kannst das aber auch fuer host/domain "besonders" definieren

ich hatte da auch mal was mit verify geschrieben

https://sys4.de/de/blog/2014/03/02/recipient-verification-tls-mandatory-modus/

ausserdem koennte es sein das ab postfix 3.x ein paar Moeglichkeiten
dazugekommen sind .... evtl wartest du mal auf weitere Antworten

> 
> Danke und Gruesse,
> 
> fe
> 



Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste postfix-users