Fehler wg. TLS 1.3 mismatch

Markus Winkler ml at irmawi.de
Mo Sep 30 20:26:45 CEST 2024 

Hallo Frank,

On 30.09.24 15:20, Frank Röhm via postfix-users wrote:
> Mein postfix default zu smtpd_tls_protocols u.a.:
> 
> #postconf -d
[...]
> smtpd_tls_protocols = >=TLSv1
[...]
> 
> Also zu smtpd_tls_protocols habe ich gar keinen Eintrag.

;-)

Interessanter ist m. E. der output von

postconf -nf

und insbesondere zu smtp_tls_* (also ohne 'd'), denn Dein sendender Server 
ist in dem Moment ja Client.

Die Sophos-Kisten jedenfalls unterstützen bei TLSv1.3 das hier:

Hexcode  Cipher Suite Name (OpenSSL)       KeyExch.   Encryption  Bits 
Cipher Suite Name (IANA/RFC)
-----------------------------------------------------------------------------------------------------------------------------
TLS 1.3
  x1302   TLS_AES_256_GCM_SHA384            ECDH 253   AESGCM      256 
TLS_AES_256_GCM_SHA384
  x1303   TLS_CHACHA20_POLY1305_SHA256      ECDH 253   ChaCha20    256 
TLS_CHACHA20_POLY1305_SHA256
  x1301   TLS_AES_128_GCM_SHA256            ECDH 253   AESGCM      128 
TLS_AES_128_GCM_SHA256


Dein ew6.org unterstützt eingangsseitig dieselben Ciphers wie Sophos:

Hexcode  Cipher Suite Name (OpenSSL)       KeyExch.   Encryption  Bits 
Cipher Suite Name (IANA/RFC)
-----------------------------------------------------------------------------------------------------------------------------
TLS 1.3
  x1302   TLS_AES_256_GCM_SHA384            ECDH 253   AESGCM      256 
TLS_AES_256_GCM_SHA384
  x1303   TLS_CHACHA20_POLY1305_SHA256      ECDH 253   ChaCha20    256 
TLS_CHACHA20_POLY1305_SHA256
  x1301   TLS_AES_128_GCM_SHA256            ECDH 253   AESGCM      128 
TLS_AES_128_GCM_SHA256

ausgangsseitig wäre er also prinzipiell dazu ebenfalls in der Lage.

Wenn ich von einem Server mit Debian 12 / Postfix 3.7.11 eine Mail an 
ladenburger.de schicke, sieht TLS im Log so aus:

Trusted TLS connection established to 
mx-01-eu-central-1.prod.hydra.sophos.com[3.66.207.199]:25: TLSv1.3 with 
cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 
server-signature RSA-PSS (2048 bits) server-digest SHA256

Genau diese Zeile wäre von Deinem Server interessant - die müsste im Log 
direkt vor der stehen, die Du schon gepostet hast. Dann wüssten wir, 
welchen Status die Verbindung hatte.

U. U. - und ich denke sogar: wahrscheinlich - ist nämlich rein TLS-seitig 
alles OK und das Problem eher hier zu suchen:

https://docs.sophos.com/central/customer/help/en-us/ManageYourProducts/EmailSecurity/SMTPErrorCodes/index.html

XGEMAIL_0006 	Message rejected because the TLS version used doesn't match 
the version configured in your policy.

Oder auch hier:

https://community.sophos.com/sophos-email/f/discussions/141496/sophos-secure-message-where-is-it?pifragment-2944=2

"The 550 XGEMAIL_0006 means - Returned when the message is rejected because 
the TLS version used did not match the version configured in customer policy."

Fragen über Fragen. ;-) Die eine zusätzliche Zeile Deines Logs könnte 
erhellend sein und den Schwarzen Peter zu Sophos schieben lassen. ;-)

Viele Grüße
Markus

Mehr Informationen über die Mailingliste postfix-users