alte Mail-Clients und neue Server (SSLv3?)

[Alex]

Hallo.

On 25.11.20 17:43, "Frank J. Dürring" wrote:
> Hallo zusammen,
> 
> ich habe leider ein Problem mit alten Servern (Exchange 2010), Kopier-&Scan-Systemen und Mail-Clients (z.B. macOS 10.11 El Capitan) etc.
> Ja ich weiß das diese Systeme nicht mehr supported werden, aber sie liegen *nicht* in einer Verwaltung und ich hab die Kunde bereits eindringlich darauf hingewiesen.
> 
> Mein Problem ist das Sie weiterhin E-Mails versenden möchten und mit meinem aktuellen Mailserver leider nicht mehr sprechen können, ich vermute es liegt am alten Encoding von SSLv3.
> Jetzt möchte ich diese Kunden zumindest so gut es geht weiter versorgen, die Frage ist wie?
> 
> Der neue Mailserver hat diese Konfiguration (*main.cf)*
> https://pastebin.com/PHCsWAbU <https://pastebin.com/PHCsWAbU>
> 
> Die Fehlermeldung sieht so aus:
> 
>> Nov 16 19:15:07 mx10 dovecot: pop3-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=217.92.555.555, lip=49.12.999.999, TLS handshaking: SSL_accept() failed: error:1420918C:SSL routines:tls_early_post_process_client_hello:version too low, session=<X4CkWz20dl7ZXEzf>
> 
> Wie macht ihr sowas?
> 
>   * Radikal die Kunden rauswerfen?
>   * Die Konfiguration des (neuen) Mailservers aufweichen?
>   * Einen zweiten Mailserver für altes Encoding bereitstellen?

Ich würde einen HAProxy davor setzten für diese Kunden unter einem eigenen Namen z. B. oldmail.DOMAIN.
Dort kann man dann eine "alte konfig" einsetzten und sobald die Kunden das nicht mehr brauchen kann
man das abbauen.

https://wiki2.dovecot.org/HAProxy
https://www.haproxy.com/blog/efficient-smtp-relay-infrastructure-with-postfix-and-load-balancers/

> Oder habe ich eine schlechte Konfiguration?
> Das mag ich nicht ausschließen, wobei 95% meiner Kunden keinerlei Problem damit haben.
> 
> Danke und Gruß Frank.

Jm2c

LG
Aleks