From francwalter at gmx.net  Tue Oct  1 06:31:40 2024
From: francwalter at gmx.net (=?UTF-8?Q?Frank_R=C3=B6hm?=)
Date: Tue, 1 Oct 2024 06:31:40 +0200 (GMT+02:00)
Subject: Fehler wg. TLS 1.3 mismatch
In-Reply-To: <764fd3860d645852cd450093af06b243@wessel-nienburg.de>
References: <24063b98-0423-4574-99ac-166f97578105@gmx.net>
 <764fd3860d645852cd450093af06b243@wessel-nienburg.de>
Message-ID: <cab88285-4053-401f-bd36-be765dcf08a5@gmx.net>

Ich habe OpenSSL 3:

#openssl version
OpenSSL 3.0.2 15 Mar 2022 (Library: OpenSSL 3.0.2 15 Mar 2022)

Mein Standard für smtp_tls_protocols ist größer gleich TLS v1, müsste doch also auch 1.3 gehen:

#postconf -d | grep 'smtp_tls_protocols'
smtp_tls_protocols = >=TLSv1

Ich habe jetzt in der main.cf smtp_tls_loglevel auf 3 (erst mit 2 versucht, normal habe ich 1) zum Testen, aber da sehe ich auch nicht mehr im Log beim Verbindungsaufbau meines Servers mit Sophos. Immerhin ist meine Verbindung von daheim zu meinem Server TLS 1.3:

...
Oct  1 06:04:22 ew6 postfix/smtpd[30580]: Anonymous TLS connection established from dynamic-095-112-037-129.95.112.pool.telefonica.de[95.112.37.129]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256
...

Wie kann ich es denn einstellen, dass ich den TLS Handshake meines Servers zum Sophos im Log finden kann?
Ist das eine andere Einstellung als mit smtp_tls_loglevel?

Ich habe bisher nur zu diesem Server und erst seit kurzem Probleme, abgesehen von dem üblichen gelegentlichen Blacklisting von MS Servern klappt immer alles.

From: Jan <lists at wessel-nienburg.de>
To: Frank Röhm <francwalter at gmx.net>
CC: postfix-users at de.postfix.org
Date: Sep 30, 2024 8:24:43 PM
Subject: Re: Fehler wg. TLS 1.3 mismatch

> Moin,
> 
> welche OpenSSL-Version setzt du ein? 3.0.x? Diese unterstützt TLS 1.3. Da es sich hier um den Versand handelt, sind alle Parameter mit smtp_tls_* relevant - nicht smtpd_tls_*, welche für den Emfpang wichtig sind.
> 
> Wie wird die Verbindung zu mx-01-eu-central-1.prod.hydra.sophos.com aufgebaut?
> 
> Bei mir ist z. B. folgende Zeile im Log zu finden:
> 
> Trusted TLS connection established to mx-01-eu-central-1.prod.hydra.sophos.com[3.121.140.94]:25: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256
> 
> Gefordert wird hier vom Empfänger mindestens TLS 1.3, die Verbindung scheint aber mit einer anderen Version aufgebaut zu werden. Warum man so etwas als Empfänger konfiguriert, steht auf einem anderen Blatt.
> 
> Viele Grüße
> Jan
> 
> Am 30.09.2024 15:20, schrieb Frank Röhm via postfix-users:
>> Hallo
>> ein Kunde hat Probleme von meinem Postfix (3.6.4) Mailserver (auf Ubuntu
>> 22.04) an Adressen von ladenburger.de zu mailen.
>> Folgende Fehlermeldung steht im mail.log:
>> Sep 30 07:09:30 ew6 postfix/smtp[722793]: 58C5FBF084:
>> to=<example at ladenburger.de>,
>> relay=mx-01-eu-central-1.prod.hydra.sophos.com[3.121.140.94]:25,
>> delay=0.41, delays=0.02/0.02/0.15/0.23, dsn=5.7.4, status=bounced (host
>> mx-01-eu-central-1.prod.hydra.sophos.com[3.121.140.94] said: 550 5.7.4
>> XGEMAIL_0006 Command rejected : The rejection of the message occurred
>> due to a mismatch in TLS versions between the configured TLS version is
>> Preferred TLS 1.3 for the recipient: example at ladenburger.de and the
>> sender: zimmerei-geiger.de TLS version is not available (in reply to
>> RCPT TO command))
>> Ich habe darüber nachgesucht aber nichts Einschlägiges dazu gefunden,
>> außer dass Sophos schuld sein sollte ;)
>> Mein postfix default zu smtpd_tls_protocols u.a.:
>> #postconf -d
>> ...
>> smtpd_tls_CAfile =
>> smtpd_tls_CApath =
>> smtpd_tls_always_issue_session_ids = yes
>> smtpd_tls_ask_ccert = no
>> smtpd_tls_auth_only = no
>> smtpd_tls_ccert_verifydepth = 9
>> smtpd_tls_cert_file =
>> smtpd_tls_chain_files =
>> smtpd_tls_ciphers = medium
>> smtpd_tls_dcert_file =
>> smtpd_tls_dh1024_param_file =
>> smtpd_tls_dh512_param_file =
>> smtpd_tls_dkey_file = $smtpd_tls_dcert_file
>> smtpd_tls_eccert_file =
>> smtpd_tls_eckey_file = $smtpd_tls_eccert_file
>> smtpd_tls_eecdh_grade = auto
>> smtpd_tls_exclude_ciphers =
>> smtpd_tls_fingerprint_digest = ${{$compatibility_level} <level {3.6} ?
>> {md5} : {sha256}}
>> smtpd_tls_key_file = $smtpd_tls_cert_file
>> smtpd_tls_loglevel = 0
>> smtpd_tls_mandatory_ciphers = medium
>> smtpd_tls_mandatory_exclude_ciphers =
>> smtpd_tls_mandatory_protocols = >=TLSv1
>> smtpd_tls_protocols = >=TLSv1
>> smtpd_tls_received_header = no
>> smtpd_tls_req_ccert = no
>> smtpd_tls_security_level =
>> smtpd_tls_session_cache_database =
>> smtpd_tls_session_cache_timeout = 3600s
>> smtpd_tls_wrappermode = no
>> ...
>> Also zu smtpd_tls_protocols habe ich gar keinen Eintrag.
>> Der Kunde meint, es hätte sonst immer funktioniert, aber ich hab an
>> meinem Postfix auch nichts geändert.
>> Hat jemand einen Tipp, was das sein könnte, muss ich da was tun oder
>> kann ich auf deren Server verweisen?
>> Danke.
>> Gruß franc

From ml at irmawi.de  Tue Oct  1 07:37:38 2024
From: ml at irmawi.de (Markus Winkler)
Date: Tue, 1 Oct 2024 07:37:38 +0200
Subject: Fehler wg. TLS 1.3 mismatch
In-Reply-To: <cab88285-4053-401f-bd36-be765dcf08a5@gmx.net>
References: <24063b98-0423-4574-99ac-166f97578105@gmx.net>
 <764fd3860d645852cd450093af06b243@wessel-nienburg.de>
 <cab88285-4053-401f-bd36-be765dcf08a5@gmx.net>
Message-ID: <20241001053738.tvwjj6ovv3px5jla@kermit.home.priv>

Moin Frank,

On Tue, 01 Oct 2024 at 06:31:40AM +0200, Frank Röhm via postfix-users wrote:

>Mein Standard für smtp_tls_protocols ist größer gleich TLS v1, müsste doch also auch 1.3 gehen:
>
>#postconf -d | grep 'smtp_tls_protocols'
>smtp_tls_protocols = >=TLSv1

wie schon geschrieben: Du musst bitte zusätzlich auch 'postconf -n' verwenden. Das '-d' zeigt "nur" die Defaults an, aber nicht Deine real 
verwendete Config. Möglicherweise überschreibst Du ja den Default.

Poste also bitte sicherheitshalber auch mal den kompletten Output von 'postconf -nf'.

>Ich habe jetzt in der main.cf smtp_tls_loglevel auf 3 (erst mit 2 versucht, normal habe ich 1) zum Testen, aber da sehe ich auch nicht mehr im Log beim Verbindungsaufbau meines Servers mit Sophos. Immerhin ist meine Verbindung von daheim zu meinem Server TLS 1.3:
>
>...
>Oct  1 06:04:22 ew6 postfix/smtpd[30580]: Anonymous TLS connection established from dynamic-095-112-037-129.95.112.pool.telefonica.de[95.112.37.129]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256
>...

Und genau diese Anzeige müsste bei 'smtp_tls_loglevel = 1' auch bei ausgehenden Verbindungen angezeigt werden. Ich habe bei mir den Loglevel 
jedenfalls so gesetzt und erhalte den gestern geposteten Logeintrag für meine Testmail zu Sophos.

>Wie kann ich es denn einstellen, dass ich den TLS Handshake meines Servers zum Sophos im Log finden kann?
>Ist das eine andere Einstellung als mit smtp_tls_loglevel?

Nö, das müsste schon funktionieren. Nur zur Sicherheit gefragt: Ein 'postfix reload' hattest Du nach den Änderungen der main.cf schon gemacht, 
oder?

Ich denke aber nach wie vor, dass das Problem an der Policy auf Seiten von Sophos liegt.

Viele Grüße
Markus