alte Mail-Clients und neue Server (SSLv3?)

Patrick Ben Koetter p at sys4.de
Mo Nov 30 10:20:44 CET 2020


Hallo,

* "Frank J. Dürring" <frank.duerring at condero.com>:
> Hallo zusammen,
> 
> ich habe leider ein Problem mit alten Servern (Exchange 2010), Kopier-&Scan-Systemen und Mail-Clients (z.B. macOS 10.11 El Capitan) etc.
> Ja ich weiß das diese Systeme nicht mehr supported werden, aber sie liegen nicht in einer Verwaltung und ich hab die Kunde bereits eindringlich darauf hingewiesen. 
> 
> Mein Problem ist das Sie weiterhin E-Mails versenden möchten und mit meinem aktuellen Mailserver leider nicht mehr sprechen können, ich vermute es liegt am alten Encoding von SSLv3.
> Jetzt möchte ich diese Kunden zumindest so gut es geht weiter versorgen, die Frage ist wie?

ich handle nach diesem (alten) Motto: „Be liberal in what you accept and
conservative in what you send.“

Diesem Motto folgend würde ich SSLv3 auf Seite des Postfix smtpd-Servers
akkzeptieren und auf Seite des Postfix smtp-Clients TLSv1.1+ fahren.

Wenn Du dann noch Probleme mit Zielen, die kein TLSv1.1+ anbieten, kannst Du
mit smtp_tls_policy_maps fallweise gezielt Ausnahmen gestatten.


> Der neue Mailserver hat diese Konfiguration (main.cf)
> https://pastebin.com/PHCsWAbU <https://pastebin.com/PHCsWAbU>
> 
> Die Fehlermeldung sieht so aus:
> 
> > Nov 16 19:15:07 mx10 dovecot: pop3-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=217.92.555.555, lip=49.12.999.999, TLS handshaking: SSL_accept() failed: error:1420918C:SSL routines:tls_early_post_process_client_hello:version too low, session=<X4CkWz20dl7ZXEzf>
> 
> Wie macht ihr sowas?
> Radikal die Kunden rauswerfen?
> Die Konfiguration des (neuen) Mailservers aufweichen?
> Einen zweiten Mailserver für altes Encoding bereitstellen?

Als workaround siehe oben und dann würde ich eine Sundown-Phase ankündigen und
den Kunden so ausreichend Zeit geben, ihre Server an die neuen
Policies/Standards anzupassen.

Damit das auch klappt, würde ich denen in der Benachrichtigung auch gleich
Links mit Verweisen auf Updates/Upgrades senden, damit sie loslegen können.


> Oder habe ich eine schlechte Konfiguration?

Deine Config kontrolliert die Aussenwelt, aber nicht die Deine. Damit meine
ich, Du legst den anderen Bedingungen auf zu denen sie Einliefern dürfen, aber
selbst sieht Deine TLS Policy keine Anpassung an TLS-Standards der Gegenwart
für den smtp-Client vor.

Ich persönlich würde es, wie oben beschrieben, genau andersrum machen und den
Teil der Welt kontrollieren auf den ich selbst unmittelbar Einfluss nehmen
kann.

> Das mag ich nicht ausschließen, wobei 95% meiner Kunden keinerlei Problem damit haben.

Es sind immer die Ausnahmen, welche die Arbeit machen. ;-)

p at rick




> 
> Danke und Gruß Frank.
> 
> 



-- 
[*] sys4 AG

https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4436 bytes
Beschreibung: nicht verfügbar
URL         : <https://de.postfix.org/pipermail/postfix-users/attachments/20201130/0a13d674/attachment.bin>


Mehr Informationen über die Mailingliste postfix-users