Postfix | Problematik mit der TLS 1.2 Verschlüsselung

  • Guten Abend,


    ich habe seit paar Monaten meinen eigenen Mailserver, was auch gut funktioniert bis auf die Sache:
    Ich habe bei Postfix so konfiguriert, dass eingehende Verbindungen (smtpd) bei der Verschlüsselung nur TLS1.2 akzeptiert und alles andere ablehnt.
    Nun ist mir in den letzten Tagen in der Logfile aufgefallen, dass manchen Mailserver Kommunikationsprobleme mit meinem Mailserver hat. Dazu paar Beispiele:

    Code
    1. Apr 20 17:12:25 mail postfix/smtpd[31752]: connect from lux.smtp-out.eu-west-1.amazonses.com[176.32.127.138]
    2. Apr 20 17:12:25 mail postfix/smtpd[31752]: SSL_accept error from lux.smtp-out.eu-west-1.amazonses.com[176.32.127.138]: -1
    3. Apr 20 17:12:25 mail postfix/smtpd[31752]: warning: TLS library problem: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:640
    4. Apr 20 17:12:25 mail postfix/smtpd[31752]: lost connection after STARTTLS from lux.smtp-out.eu-west-1.amazonses.com[176.32.127.138]
    5. Apr 20 17:12:25 mail postfix/smtpd[31752]: disconnect from lux.smtp-out.eu-west-1.amazonses.com[176.32.127.138]


    Code
    1. Apr 19 17:05:16 mail postfix/smtpd[31666]: connect from redirection.weddix.de[178.77.98.53]
    2. Apr 19 17:05:16 mail postfix/smtpd[31666]: SSL_accept error from redirection.weddix.de[178.77.98.53]: -1
    3. Apr 19 17:05:16 mail postfix/smtpd[31666]: warning: TLS library problem: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:640
    4. Apr 19 17:05:16 mail postfix/smtpd[31666]: lost connection after STARTTLS from redirection.weddix.de[178.77.98.53]
    5. Apr 19 17:05:16 mail postfix/smtpd[31666]: disconnect from redirection.weddix.de[178.77.98.53]


    Diese Meldungen sind dadurch zustande gekommen, dass diesen Mailserver, die Kommunikationsprobleme mit meinem Mailserver haben, eben kein TLS1.2 unterstützt.
    Nun frage ich mich echt, wieso heutzutage immer noch so viele Mailserver (vorallem auch vom großen Anbieter) TLS1.2 nicht unterstützen?
    Oder bin ich mit dieser Sache mit der TLS-Verschlüsselung zu streng? Was ich auch nicht verstehe, in meiner main.cf ist

    Code
    1. smtpd_tls_security_level=may

    gesetzt,
    was auch bedeutet, dass mein Mailserver eben auch ohne Verschlüsselung ansprechbar ist.
    Was meint Ihr?


    Gruß joas

  • Mal ganz allgemein: Öffentliche Mailserver müssen per SMTP auch unverschlüsselt erreichbar sein! Das schreiben nicht nur diverse RFC so vor, Du wirst ansonsten Probleme mit einigen Mailservern bekommen. Alleine schon deshalb, weil unverschlüsselt normalerweise immer als Fallback genutzt wird.


    Ob TLS 1.2 weit verbreitet ist, mag ich nicht beurteilen. Wundert tut mich in diesem Bereich aber nichts mehr, nachdem es immer noch genügend Mailserver gibt, die ohne jegliche Verschlüsselung konfiguriert sind. Interessant wäre zusätzlich noch, welche Cipher Du erzwingst oder anbietest.



    MfG Christian

  • Dass öffentliche Mailserver per SMTP auch unverschlüsselt ansprechbar sein müssen, ist mir bewusst klar.
    Genau aus diesem Grund verstehe ich auch nicht, wieso diesen Mailserver nach fehlgeschlagenen verschlüsselte Verbindungen mit TLS1.2
    dann als Fallback unverschlüsselte Verbindungen mit meinem Mailserver nicht aufbauen können.
    Stattdessen kontaktieren sie ganz stur über die verschlüsselte Verbindungen meinem Mailserver und das geht mehrmals am Tag, sogar bis drei Tagen.
    Dafür bietet doch meinen Mailserver dank diese Einstellung

    Code
    1. smtpd_tls_security_level=may

    an.
    Ich habe nur diese folgende Ciphers ausgeschlossen:

    Code
    1. smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CBC3-SHA, KRB5-DES, CBC3-SHA


    Gruß joas