Hallo, * "Frank J. Dürring" <frank.duerr...@condero.com>: > Hallo zusammen, > > ich habe leider ein Problem mit alten Servern (Exchange 2010), > Kopier-&Scan-Systemen und Mail-Clients (z.B. macOS 10.11 El Capitan) etc. > Ja ich weiß das diese Systeme nicht mehr supported werden, aber sie liegen > nicht in einer Verwaltung und ich hab die Kunde bereits eindringlich darauf > hingewiesen. > > Mein Problem ist das Sie weiterhin E-Mails versenden möchten und mit meinem > aktuellen Mailserver leider nicht mehr sprechen können, ich vermute es liegt > am alten Encoding von SSLv3. > Jetzt möchte ich diese Kunden zumindest so gut es geht weiter versorgen, die > Frage ist wie?
ich handle nach diesem (alten) Motto: „Be liberal in what you accept and conservative in what you send.“ Diesem Motto folgend würde ich SSLv3 auf Seite des Postfix smtpd-Servers akkzeptieren und auf Seite des Postfix smtp-Clients TLSv1.1+ fahren. Wenn Du dann noch Probleme mit Zielen, die kein TLSv1.1+ anbieten, kannst Du mit smtp_tls_policy_maps fallweise gezielt Ausnahmen gestatten. > Der neue Mailserver hat diese Konfiguration (main.cf) > https://pastebin.com/PHCsWAbU <https://pastebin.com/PHCsWAbU> > > Die Fehlermeldung sieht so aus: > > > Nov 16 19:15:07 mx10 dovecot: pop3-login: Disconnected (no auth attempts in > > 1 secs): user=<>, rip=217.92.555.555, lip=49.12.999.999, TLS handshaking: > > SSL_accept() failed: error:1420918C:SSL > > routines:tls_early_post_process_client_hello:version too low, > > session=<X4CkWz20dl7ZXEzf> > > Wie macht ihr sowas? > Radikal die Kunden rauswerfen? > Die Konfiguration des (neuen) Mailservers aufweichen? > Einen zweiten Mailserver für altes Encoding bereitstellen? Als workaround siehe oben und dann würde ich eine Sundown-Phase ankündigen und den Kunden so ausreichend Zeit geben, ihre Server an die neuen Policies/Standards anzupassen. Damit das auch klappt, würde ich denen in der Benachrichtigung auch gleich Links mit Verweisen auf Updates/Upgrades senden, damit sie loslegen können. > Oder habe ich eine schlechte Konfiguration? Deine Config kontrolliert die Aussenwelt, aber nicht die Deine. Damit meine ich, Du legst den anderen Bedingungen auf zu denen sie Einliefern dürfen, aber selbst sieht Deine TLS Policy keine Anpassung an TLS-Standards der Gegenwart für den smtp-Client vor. Ich persönlich würde es, wie oben beschrieben, genau andersrum machen und den Teil der Welt kontrollieren auf den ich selbst unmittelbar Einfluss nehmen kann. > Das mag ich nicht ausschließen, wobei 95% meiner Kunden keinerlei Problem > damit haben. Es sind immer die Ausnahmen, welche die Arbeit machen. ;-) p@rick > > Danke und Gruß Frank. > > -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief Aufsichtsratsvorsitzender: Florian Kirstein
smime.p7s
Description: S/MIME cryptographic signature
