• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

MAIL TLS 1.3 Problem

userxxx

New Member
Hallo an Alle.

Wir haben seit letzter Woche ein Problem mit einem Geschäftspartner per Mail zu kommunizieren.

Wir bekommen die Meldung: Preferred TLS 1.3 (in reply to RCPT TO command)
Unser Mail-Server unterstützt aber TLS 1.3 und wir haben mit hunderten Kunden zu tun und gar keine Probleme.
SSL v3 Off?Yes
TLS v1.0 Supported?Yes
TLS v1.2 Supported?Yes
TLS v1.2 + Good Ciphers?Yes
TLS v1.3 Supported?Yes
Weak Ciphers Off?Yes
NIST 800-52r2 Cipher Support?Yes
LuxSci SecureLine Compatability?Yes

Operating systemDebian Linux 10
Postfix Mail Server
Postfix version 3.4.14

...was könnte das Problem sein?
 
Da hat Dein Geschäftspartner seine Sophos falsch konfiguriert (TLSv1.2 muss zwingend erlaubt sein) und Sophos selbst scheint hier einen Bug zu haben.
 
...noch ne dummer Frage, woran erkennst du das Sophos einen Bug hat?
Wenn wir davon ausgehen, dass Debian sein OpenSSL nicht schon wieder völlig kaputt gebastelt hat, dann würde die Verbindung zu Deiner Gegenstelle ohne Mucken funktionieren. Da Letzteres nicht der Fall ist, muss also die Sophos Deiner Gegenstelle kaputt sein.

Und dass da eine Sophos im Spiel ist, erkennt man am "XGEMAIL_" im Log, denn diese Zeichenfolge sendet nur eine Sophos...
 
@userxxx : Dann stell' doch mal das Debuglevel vom smtp-Transport hoch (master.cf: Service "smtp", ein "-v" anfügen) und schau' Dir mal das Mail-Log an. Vielleicht ergeben sich da weitere Einsichten.

Unabhängig davon, dass es eher ungeschickt ist, TLSv1.2 abzuschalten, müsste dass ja trotzdem funktionieren, wenn beide TLSv1.3 können, sage ich als jemand, der sich hier im Thema nicht wirklich außerordentlich kompetent wahrnimmt.
 
Last edited:
...was ich interessant finde, dass der Geschäftspartner anscheinend auch mit TLSv1_2 versendet, aber selbst will er es nicht mehr akzeptieren.:eek:

ProtokolleTLSv1_2 TLSv1_1 TLSv1
SchlüsselZertifikate: RSA 2048 bits
Diffie Hellman : ECC 256 bits DH 2048 bits
KritischDES3
 
...du meinst es könnte am ssl-cert-snakeoil.pem liegen?
Als S. bezeichne ich fehlkonfigurierte oder "besonders wirksame" Funktionen vorgaukelnde Sicherheitssoftware.

Hast du nun bei deinem SMTP den Debug-Level hochgesetzt, damit du siehst wo der TLS-Handshake bei dem einen hakt?
 
@userxxx:
Warum postest du 4 Beiträge in weniger als 30 Minuten?
Falls du es noch nicht gesehen haben solltest, die Forensoftware bietet eine Edit-Funktion mit der du deine Beiträge bearbeiten oder auch erweitern kannst.
 
Back
Top