Fehler wg. TLS 1.3 mismatch

[Markus Winkler]

Moin Frank,

On Tue, 01 Oct 2024 at 06:31:40AM +0200, Frank Röhm via postfix-users wrote:

>Mein Standard für smtp_tls_protocols ist größer gleich TLS v1, müsste doch also auch 1.3 gehen:
>
>#postconf -d | grep 'smtp_tls_protocols'
>smtp_tls_protocols = >=TLSv1

wie schon geschrieben: Du musst bitte zusätzlich auch 'postconf -n' verwenden. Das '-d' zeigt "nur" die Defaults an, aber nicht Deine real 
verwendete Config. Möglicherweise überschreibst Du ja den Default.

Poste also bitte sicherheitshalber auch mal den kompletten Output von 'postconf -nf'.

>Ich habe jetzt in der main.cf smtp_tls_loglevel auf 3 (erst mit 2 versucht, normal habe ich 1) zum Testen, aber da sehe ich auch nicht mehr im Log beim Verbindungsaufbau meines Servers mit Sophos. Immerhin ist meine Verbindung von daheim zu meinem Server TLS 1.3:
>
>...
>Oct  1 06:04:22 ew6 postfix/smtpd[30580]: Anonymous TLS connection established from dynamic-095-112-037-129.95.112.pool.telefonica.de[95.112.37.129]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256
>...

Und genau diese Anzeige müsste bei 'smtp_tls_loglevel = 1' auch bei ausgehenden Verbindungen angezeigt werden. Ich habe bei mir den Loglevel 
jedenfalls so gesetzt und erhalte den gestern geposteten Logeintrag für meine Testmail zu Sophos.

>Wie kann ich es denn einstellen, dass ich den TLS Handshake meines Servers zum Sophos im Log finden kann?
>Ist das eine andere Einstellung als mit smtp_tls_loglevel?

Nö, das müsste schon funktionieren. Nur zur Sicherheit gefragt: Ein 'postfix reload' hattest Du nach den Änderungen der main.cf schon gemacht, 
oder?

Ich denke aber nach wie vor, dass das Problem an der Policy auf Seiten von Sophos liegt.

Viele Grüße
Markus