Fehler wg. TLS 1.3 mismatch

Frank Röhm francwalter at gmx.net
Di Okt 1 06:31:40 CEST 2024 

Ich habe OpenSSL 3:

#openssl version
OpenSSL 3.0.2 15 Mar 2022 (Library: OpenSSL 3.0.2 15 Mar 2022)

Mein Standard für smtp_tls_protocols ist größer gleich TLS v1, müsste doch also auch 1.3 gehen:

#postconf -d | grep 'smtp_tls_protocols'
smtp_tls_protocols = >=TLSv1

Ich habe jetzt in der main.cf smtp_tls_loglevel auf 3 (erst mit 2 versucht, normal habe ich 1) zum Testen, aber da sehe ich auch nicht mehr im Log beim Verbindungsaufbau meines Servers mit Sophos. Immerhin ist meine Verbindung von daheim zu meinem Server TLS 1.3:

...
Oct  1 06:04:22 ew6 postfix/smtpd[30580]: Anonymous TLS connection established from dynamic-095-112-037-129.95.112.pool.telefonica.de[95.112.37.129]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256
...

Wie kann ich es denn einstellen, dass ich den TLS Handshake meines Servers zum Sophos im Log finden kann?
Ist das eine andere Einstellung als mit smtp_tls_loglevel?

Ich habe bisher nur zu diesem Server und erst seit kurzem Probleme, abgesehen von dem üblichen gelegentlichen Blacklisting von MS Servern klappt immer alles.

From: Jan <lists at wessel-nienburg.de>
To: Frank Röhm <francwalter at gmx.net>
CC: postfix-users at de.postfix.org
Date: Sep 30, 2024 8:24:43 PM
Subject: Re: Fehler wg. TLS 1.3 mismatch

> Moin,
> 
> welche OpenSSL-Version setzt du ein? 3.0.x? Diese unterstützt TLS 1.3. Da es sich hier um den Versand handelt, sind alle Parameter mit smtp_tls_* relevant - nicht smtpd_tls_*, welche für den Emfpang wichtig sind.
> 
> Wie wird die Verbindung zu mx-01-eu-central-1.prod.hydra.sophos.com aufgebaut?
> 
> Bei mir ist z. B. folgende Zeile im Log zu finden:
> 
> Trusted TLS connection established to mx-01-eu-central-1.prod.hydra.sophos.com[3.121.140.94]:25: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256
> 
> Gefordert wird hier vom Empfänger mindestens TLS 1.3, die Verbindung scheint aber mit einer anderen Version aufgebaut zu werden. Warum man so etwas als Empfänger konfiguriert, steht auf einem anderen Blatt.
> 
> Viele Grüße
> Jan
> 
> Am 30.09.2024 15:20, schrieb Frank Röhm via postfix-users:
>> Hallo
>> ein Kunde hat Probleme von meinem Postfix (3.6.4) Mailserver (auf Ubuntu
>> 22.04) an Adressen von ladenburger.de zu mailen.
>> Folgende Fehlermeldung steht im mail.log:
>> Sep 30 07:09:30 ew6 postfix/smtp[722793]: 58C5FBF084:
>> to=<example at ladenburger.de>,
>> relay=mx-01-eu-central-1.prod.hydra.sophos.com[3.121.140.94]:25,
>> delay=0.41, delays=0.02/0.02/0.15/0.23, dsn=5.7.4, status=bounced (host
>> mx-01-eu-central-1.prod.hydra.sophos.com[3.121.140.94] said: 550 5.7.4
>> XGEMAIL_0006 Command rejected : The rejection of the message occurred
>> due to a mismatch in TLS versions between the configured TLS version is
>> Preferred TLS 1.3 for the recipient: example at ladenburger.de and the
>> sender: zimmerei-geiger.de TLS version is not available (in reply to
>> RCPT TO command))
>> Ich habe darüber nachgesucht aber nichts Einschlägiges dazu gefunden,
>> außer dass Sophos schuld sein sollte ;)
>> Mein postfix default zu smtpd_tls_protocols u.a.:
>> #postconf -d
>> ...
>> smtpd_tls_CAfile =
>> smtpd_tls_CApath =
>> smtpd_tls_always_issue_session_ids = yes
>> smtpd_tls_ask_ccert = no
>> smtpd_tls_auth_only = no
>> smtpd_tls_ccert_verifydepth = 9
>> smtpd_tls_cert_file =
>> smtpd_tls_chain_files =
>> smtpd_tls_ciphers = medium
>> smtpd_tls_dcert_file =
>> smtpd_tls_dh1024_param_file =
>> smtpd_tls_dh512_param_file =
>> smtpd_tls_dkey_file = $smtpd_tls_dcert_file
>> smtpd_tls_eccert_file =
>> smtpd_tls_eckey_file = $smtpd_tls_eccert_file
>> smtpd_tls_eecdh_grade = auto
>> smtpd_tls_exclude_ciphers =
>> smtpd_tls_fingerprint_digest = ${{$compatibility_level} <level {3.6} ?
>> {md5} : {sha256}}
>> smtpd_tls_key_file = $smtpd_tls_cert_file
>> smtpd_tls_loglevel = 0
>> smtpd_tls_mandatory_ciphers = medium
>> smtpd_tls_mandatory_exclude_ciphers =
>> smtpd_tls_mandatory_protocols = >=TLSv1
>> smtpd_tls_protocols = >=TLSv1
>> smtpd_tls_received_header = no
>> smtpd_tls_req_ccert = no
>> smtpd_tls_security_level =
>> smtpd_tls_session_cache_database =
>> smtpd_tls_session_cache_timeout = 3600s
>> smtpd_tls_wrappermode = no
>> ...
>> Also zu smtpd_tls_protocols habe ich gar keinen Eintrag.
>> Der Kunde meint, es hätte sonst immer funktioniert, aber ich hab an
>> meinem Postfix auch nichts geändert.
>> Hat jemand einen Tipp, was das sein könnte, muss ich da was tun oder
>> kann ich auf deren Server verweisen?
>> Danke.
>> Gruß franc

Mehr Informationen über die Mailingliste postfix-users