Fehler wg. TLS 1.3 mismatch

Mo Sep 30 20:24:42 CEST 2024

Moin,

welche OpenSSL-Version setzt du ein? 3.0.x? Diese unterstützt TLS 1.3. 
Da es sich hier um den Versand handelt, sind alle Parameter mit 
smtp_tls_* relevant - nicht smtpd_tls_*, welche für den Emfpang wichtig 
sind.

Wie wird die Verbindung zu mx-01-eu-central-1.prod.hydra.sophos.com 
aufgebaut?

Bei mir ist z. B. folgende Zeile im Log zu finden:

Trusted TLS connection established to 
mx-01-eu-central-1.prod.hydra.sophos.com[3.121.140.94]:25: TLSv1.3 with 
cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 
server-signature RSA-PSS (2048 bits) server-digest SHA256

Gefordert wird hier vom Empfänger mindestens TLS 1.3, die Verbindung 
scheint aber mit einer anderen Version aufgebaut zu werden. Warum man so 
etwas als Empfänger konfiguriert, steht auf einem anderen Blatt.

Viele Grüße
Jan

Am 30.09.2024 15:20, schrieb Frank Röhm via postfix-users:
> Hallo
> ein Kunde hat Probleme von meinem Postfix (3.6.4) Mailserver (auf 
> Ubuntu
> 22.04) an Adressen von ladenburger.de zu mailen.
> Folgende Fehlermeldung steht im mail.log:
> 
> Sep 30 07:09:30 ew6 postfix/smtp[722793]: 58C5FBF084:
> to=<example at ladenburger.de>,
> relay=mx-01-eu-central-1.prod.hydra.sophos.com[3.121.140.94]:25,
> delay=0.41, delays=0.02/0.02/0.15/0.23, dsn=5.7.4, status=bounced (host
> mx-01-eu-central-1.prod.hydra.sophos.com[3.121.140.94] said: 550 5.7.4
> XGEMAIL_0006 Command rejected : The rejection of the message occurred
> due to a mismatch in TLS versions between the configured TLS version is
> Preferred TLS 1.3 for the recipient: example at ladenburger.de and the
> sender: zimmerei-geiger.de TLS version is not available (in reply to
> RCPT TO command))
> 
> Ich habe darüber nachgesucht aber nichts Einschlägiges dazu gefunden,
> außer dass Sophos schuld sein sollte ;)
> 
> Mein postfix default zu smtpd_tls_protocols u.a.:
> 
> #postconf -d
> 
> ...
> smtpd_tls_CAfile =
> smtpd_tls_CApath =
> smtpd_tls_always_issue_session_ids = yes
> smtpd_tls_ask_ccert = no
> smtpd_tls_auth_only = no
> smtpd_tls_ccert_verifydepth = 9
> smtpd_tls_cert_file =
> smtpd_tls_chain_files =
> smtpd_tls_ciphers = medium
> smtpd_tls_dcert_file =
> smtpd_tls_dh1024_param_file =
> smtpd_tls_dh512_param_file =
> smtpd_tls_dkey_file = $smtpd_tls_dcert_file
> smtpd_tls_eccert_file =
> smtpd_tls_eckey_file = $smtpd_tls_eccert_file
> smtpd_tls_eecdh_grade = auto
> smtpd_tls_exclude_ciphers =
> smtpd_tls_fingerprint_digest = ${{$compatibility_level} <level {3.6} ?
> {md5} : {sha256}}
> smtpd_tls_key_file = $smtpd_tls_cert_file
> smtpd_tls_loglevel = 0
> smtpd_tls_mandatory_ciphers = medium
> smtpd_tls_mandatory_exclude_ciphers =
> smtpd_tls_mandatory_protocols = >=TLSv1
> smtpd_tls_protocols = >=TLSv1
> smtpd_tls_received_header = no
> smtpd_tls_req_ccert = no
> smtpd_tls_security_level =
> smtpd_tls_session_cache_database =
> smtpd_tls_session_cache_timeout = 3600s
> smtpd_tls_wrappermode = no
> ...
> 
> Also zu smtpd_tls_protocols habe ich gar keinen Eintrag.
> 
> Der Kunde meint, es hätte sonst immer funktioniert, aber ich hab an
> meinem Postfix auch nichts geändert.
> 
> Hat jemand einen Tipp, was das sein könnte, muss ich da was tun oder
> kann ich auf deren Server verweisen?
> 
> Danke.
> Gruß franc