Fehler wg. TLS 1.3 mismatch
Markus Winkler
ml at irmawi.de
Mo Sep 30 20:26:45 CEST 2024
Hallo Frank,
On 30.09.24 15:20, Frank Röhm via postfix-users wrote:
> Mein postfix default zu smtpd_tls_protocols u.a.:
>
> #postconf -d
[...]
> smtpd_tls_protocols = >=TLSv1
[...]
>
> Also zu smtpd_tls_protocols habe ich gar keinen Eintrag.
;-)
Interessanter ist m. E. der output von
postconf -nf
und insbesondere zu smtp_tls_* (also ohne 'd'), denn Dein sendender Server
ist in dem Moment ja Client.
Die Sophos-Kisten jedenfalls unterstützen bei TLSv1.3 das hier:
Hexcode Cipher Suite Name (OpenSSL) KeyExch. Encryption Bits
Cipher Suite Name (IANA/RFC)
-----------------------------------------------------------------------------------------------------------------------------
TLS 1.3
x1302 TLS_AES_256_GCM_SHA384 ECDH 253 AESGCM 256
TLS_AES_256_GCM_SHA384
x1303 TLS_CHACHA20_POLY1305_SHA256 ECDH 253 ChaCha20 256
TLS_CHACHA20_POLY1305_SHA256
x1301 TLS_AES_128_GCM_SHA256 ECDH 253 AESGCM 128
TLS_AES_128_GCM_SHA256
Dein ew6.org unterstützt eingangsseitig dieselben Ciphers wie Sophos:
Hexcode Cipher Suite Name (OpenSSL) KeyExch. Encryption Bits
Cipher Suite Name (IANA/RFC)
-----------------------------------------------------------------------------------------------------------------------------
TLS 1.3
x1302 TLS_AES_256_GCM_SHA384 ECDH 253 AESGCM 256
TLS_AES_256_GCM_SHA384
x1303 TLS_CHACHA20_POLY1305_SHA256 ECDH 253 ChaCha20 256
TLS_CHACHA20_POLY1305_SHA256
x1301 TLS_AES_128_GCM_SHA256 ECDH 253 AESGCM 128
TLS_AES_128_GCM_SHA256
ausgangsseitig wäre er also prinzipiell dazu ebenfalls in der Lage.
Wenn ich von einem Server mit Debian 12 / Postfix 3.7.11 eine Mail an
ladenburger.de schicke, sieht TLS im Log so aus:
Trusted TLS connection established to
mx-01-eu-central-1.prod.hydra.sophos.com[3.66.207.199]:25: TLSv1.3 with
cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519
server-signature RSA-PSS (2048 bits) server-digest SHA256
Genau diese Zeile wäre von Deinem Server interessant - die müsste im Log
direkt vor der stehen, die Du schon gepostet hast. Dann wüssten wir,
welchen Status die Verbindung hatte.
U. U. - und ich denke sogar: wahrscheinlich - ist nämlich rein TLS-seitig
alles OK und das Problem eher hier zu suchen:
https://docs.sophos.com/central/customer/help/en-us/ManageYourProducts/EmailSecurity/SMTPErrorCodes/index.html
XGEMAIL_0006 Message rejected because the TLS version used doesn't match
the version configured in your policy.
Oder auch hier:
https://community.sophos.com/sophos-email/f/discussions/141496/sophos-secure-message-where-is-it?pifragment-2944=2
"The 550 XGEMAIL_0006 means - Returned when the message is rejected because
the TLS version used did not match the version configured in customer policy."
Fragen über Fragen. ;-) Die eine zusätzliche Zeile Deines Logs könnte
erhellend sein und den Schwarzen Peter zu Sophos schieben lassen. ;-)
Viele Grüße
Markus
Mehr Informationen über die Mailingliste postfix-users