Postfix | Problematik mit der TLS 1.2 Verschlüsselung

  • Guten Abend,


    ich habe seit paar Monaten meinen eigenen Mailserver, was auch gut funktioniert bis auf die Sache:
    Ich habe bei Postfix so konfiguriert, dass eingehende Verbindungen (smtpd) bei der Verschlüsselung nur TLS1.2 akzeptiert und alles andere ablehnt.
    Nun ist mir in den letzten Tagen in der Logfile aufgefallen, dass manchen Mailserver Kommunikationsprobleme mit meinem Mailserver hat. Dazu paar Beispiele:

    Code
    Apr 20 17:12:25 mail postfix/smtpd[31752]: connect from lux.smtp-out.eu-west-1.amazonses.com[176.32.127.138]
    Apr 20 17:12:25 mail postfix/smtpd[31752]: SSL_accept error from lux.smtp-out.eu-west-1.amazonses.com[176.32.127.138]: -1
    Apr 20 17:12:25 mail postfix/smtpd[31752]: warning: TLS library problem: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:640
    Apr 20 17:12:25 mail postfix/smtpd[31752]: lost connection after STARTTLS from lux.smtp-out.eu-west-1.amazonses.com[176.32.127.138]
    Apr 20 17:12:25 mail postfix/smtpd[31752]: disconnect from lux.smtp-out.eu-west-1.amazonses.com[176.32.127.138]


    Code
    Apr 19 17:05:16 mail postfix/smtpd[31666]: connect from redirection.weddix.de[178.77.98.53]
    Apr 19 17:05:16 mail postfix/smtpd[31666]: SSL_accept error from redirection.weddix.de[178.77.98.53]: -1
    Apr 19 17:05:16 mail postfix/smtpd[31666]: warning: TLS library problem: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:640
    Apr 19 17:05:16 mail postfix/smtpd[31666]: lost connection after STARTTLS from redirection.weddix.de[178.77.98.53]
    Apr 19 17:05:16 mail postfix/smtpd[31666]: disconnect from redirection.weddix.de[178.77.98.53]


    Diese Meldungen sind dadurch zustande gekommen, dass diesen Mailserver, die Kommunikationsprobleme mit meinem Mailserver haben, eben kein TLS1.2 unterstützt.
    Nun frage ich mich echt, wieso heutzutage immer noch so viele Mailserver (vorallem auch vom großen Anbieter) TLS1.2 nicht unterstützen?
    Oder bin ich mit dieser Sache mit der TLS-Verschlüsselung zu streng? Was ich auch nicht verstehe, in meiner main.cf ist

    Code
    smtpd_tls_security_level=may

    gesetzt,
    was auch bedeutet, dass mein Mailserver eben auch ohne Verschlüsselung ansprechbar ist.
    Was meint Ihr?


    Gruß joas

  • Mal ganz allgemein: Öffentliche Mailserver müssen per SMTP auch unverschlüsselt erreichbar sein! Das schreiben nicht nur diverse RFC so vor, Du wirst ansonsten Probleme mit einigen Mailservern bekommen. Alleine schon deshalb, weil unverschlüsselt normalerweise immer als Fallback genutzt wird.


    Ob TLS 1.2 weit verbreitet ist, mag ich nicht beurteilen. Wundert tut mich in diesem Bereich aber nichts mehr, nachdem es immer noch genügend Mailserver gibt, die ohne jegliche Verschlüsselung konfiguriert sind. Interessant wäre zusätzlich noch, welche Cipher Du erzwingst oder anbietest.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Dass öffentliche Mailserver per SMTP auch unverschlüsselt ansprechbar sein müssen, ist mir bewusst klar.
    Genau aus diesem Grund verstehe ich auch nicht, wieso diesen Mailserver nach fehlgeschlagenen verschlüsselte Verbindungen mit TLS1.2
    dann als Fallback unverschlüsselte Verbindungen mit meinem Mailserver nicht aufbauen können.
    Stattdessen kontaktieren sie ganz stur über die verschlüsselte Verbindungen meinem Mailserver und das geht mehrmals am Tag, sogar bis drei Tagen.
    Dafür bietet doch meinen Mailserver dank diese Einstellung

    Code
    smtpd_tls_security_level=may

    an.
    Ich habe nur diese folgende Ciphers ausgeschlossen:

    Code
    smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CBC3-SHA, KRB5-DES, CBC3-SHA


    Gruß joas

  • Solche Meldungen habe ich auch im Postfix log. Die Server werden dann gleich mit fail2ban gebannt.

    CentOS 7 / nginx / php-fpm / postfix / rspamd / clamav / dovecot / nextcloud running on RS 1000 SSDx4 G8 / VPS 500 G8 / VPS 2000 G8 Plus

  • Hm in meinem Post stand noch mehr Text, aber den hat's gelöscht..


    Sent from my SGP612 using Tapatalk

    CentOS 7 / nginx / php-fpm / postfix / rspamd / clamav / dovecot / nextcloud running on RS 1000 SSDx4 G8 / VPS 500 G8 / VPS 2000 G8 Plus