MAIL TLS 1.3 Problem

[userxxx]

Hallo an Alle.

Wir haben seit letzter Woche ein Problem mit einem Geschäftspartner per Mail zu kommunizieren.

Wir bekommen die Meldung: Preferred TLS 1.3 (in reply to RCPT TO command)
Unser Mail-Server unterstützt aber TLS 1.3 und wir haben mit hunderten Kunden zu tun und gar keine Probleme.

SSL v3 Off?	Yes
TLS v1.0 Supported?	Yes
TLS v1.2 Supported?	Yes
TLS v1.2 + Good Ciphers?	Yes
TLS v1.3 Supported?	Yes
Weak Ciphers Off?	Yes
NIST 800-52r2 Cipher Support?	Yes
LuxSci SecureLine Compatability?	Yes

Operating system

Debian Linux 10

Postfix Mail Server
Postfix version 3.4.14

...was könnte das Problem sein?

 

[greystone]

Magst Du vielleicht mal eine Fehlermeldung aus Deinem mail.log zeigen? Die obige Meldung scheint keine Fehlermeldung zu sein. Bei der Fehlermeldung ist noch ein SMTP-Antwortcode drin (2xx/3xx/4xx/5xx).

Siehe: https://en.wikipedia.org/wiki/List_of_SMTP_server_return_codes

 

[userxxx]

Hallo

said: 550 5.7.4 XGEMAIL_0006 Command rejected : Preferred TLS 1.3 (in reply to RCPT TO command)

 

[Joe User]

Da hat Dein Geschäftspartner seine Sophos falsch konfiguriert (TLSv1.2 muss zwingend erlaubt sein) und Sophos selbst scheint hier einen Bug zu haben.

 

[userxxx]

Da hat Dein Geschäftspartner seine Sophos falsch konfiguriert (TLSv1.2 muss zwingend erlaubt sein) und Sophos selbst scheint hier einen Bug zu haben.

...sorry für die blöde Frage, aber TLSv1.2 MUSS erlaubt sein?

 

[userxxx]

...noch ne dummer Frage, woran erkennst du das Sophos einen Bug hat?

 

[marce]

nimm die Fehlermeldung und pack sie in die Google-Suche:
https://www.google.com/search?q=+sa...eferred+TLS+1.3+(in+reply+to+RCPT+TO+command)

 

[Joe User]

...noch ne dummer Frage, woran erkennst du das Sophos einen Bug hat?

Wenn wir davon ausgehen, dass Debian sein OpenSSL nicht schon wieder völlig kaputt gebastelt hat, dann würde die Verbindung zu Deiner Gegenstelle ohne Mucken funktionieren. Da Letzteres nicht der Fall ist, muss also die Sophos Deiner Gegenstelle kaputt sein.

Und dass da eine Sophos im Spiel ist, erkennt man am "XGEMAIL_" im Log, denn diese Zeichenfolge sendet nur eine Sophos...

 

[GwenDragon]

@Joe User Schlangenöl (scnr) macht TLS kaputt – nicht auszudenken. Aber wahr.

 

[GwenDragon]

https://docs.sophos.com/central/cus...ducts/EmailSecurity/SMTPErrorCodes/index.html

 

[greystone]

@userxxx : Dann stell' doch mal das Debuglevel vom smtp-Transport hoch (master.cf: Service "smtp", ein "-v" anfügen) und schau' Dir mal das Mail-Log an. Vielleicht ergeben sich da weitere Einsichten.

Unabhängig davon, dass es eher ungeschickt ist, TLSv1.2 abzuschalten, müsste dass ja trotzdem funktionieren, wenn beide TLSv1.3 können, sage ich als jemand, der sich hier im Thema nicht wirklich außerordentlich kompetent wahrnimmt.

 

[userxxx]

https://docs.sophos.com/central/cus...ducts/EmailSecurity/SMTPErrorCodes/index.html

Es wurde auch mitgeteilt, dass nur mehr TLS 1.3 akzeptiert wird. Wie gesagt, es ist von allen Geschäftspartnern der einzige mit dem es irgendein Problem gibt.

 

[userxxx]

@Joe User Schlangenöl (scnr) macht TLS kaputt – nicht auszudenken. Aber wahr.

...du meinst es könnte am ssl-cert-snakeoil.pem liegen?

 

[userxxx]

...was ich interessant finde, dass der Geschäftspartner anscheinend auch mit TLSv1_2 versendet, aber selbst will er es nicht mehr akzeptieren.

Protokolle	TLSv1_2 TLSv1_1 TLSv1
Schlüssel	Zertifikate: RSA 2048 bits Diffie Hellman : ECC 256 bits DH 2048 bits
Kritisch	DES3

 

[userxxx]

...über eine Outlook.com werden die E-Mails angenommen, aber da wird auch mit TLSv1.2. versendet.

 

[GwenDragon]

...du meinst es könnte am ssl-cert-snakeoil.pem liegen?

Als S. bezeichne ich fehlkonfigurierte oder "besonders wirksame" Funktionen vorgaukelnde Sicherheitssoftware.

Hast du nun bei deinem SMTP den Debug-Level hochgesetzt, damit du siehst wo der TLS-Handshake bei dem einen hakt?

 

[nexus]

@userxxx:
Warum postest du 4 Beiträge in weniger als 30 Minuten?
Falls du es noch nicht gesehen haben solltest, die Forensoftware bietet eine Edit-Funktion mit der du deine Beiträge bearbeiten oder auch erweitern kannst.