TLS für ein- und ausgehende Verbindungen

classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|

TLS für ein- und ausgehende Verbindungen

Christian Schoepplein
Hi,

ab und an tauchen Einträge wie dieser hier in den Logs unserer
Mailserver auf:

May 28 12:46:39 myhostname postfix/smtpd[6602]: connect from
researchscan288.eecs.umich.edu[141.212.122.33]
May 28 12:46:40 myhostname postfix/smtpd[6602]: Anonymous TLS
connection established from
researchscan288.eecs.umich.edu[141.212.122.33]: TLSv1.2 with cipher
 ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
May 28 12:46:40 myhostname postfix/smtpd[6602]: lost connection after
STARTTLS from researchscan288.eecs.umich.edu[141.212.122.33]
May 28 12:46:40 myhostname postfix/smtpd[6602]: disconnect from
researchscan288.eecs.umich.edu[141.212.122.33] ehlo=1 starttls=1
commands=2

TLS ist wie folgt auf den Servern konfiguriert:

# /usr/sbin/postconf -n | grep tls
smtp_tls_cert_file =
/etc/ssl/private/myhostname.crt
smtp_tls_key_file = /etc/ssl/private/myhostname.key
smtp_tls_loglevel = 1
smtp_use_tls = yes
smtpd_tls_cert_file =
/etc/ssl/private/myhostname.crt
smtpd_tls_key_file =
/etc/ssl/private/myhostname.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_use_tls = yes

Postfix-Version ist 3.0.3.

Bedeutet der Logeintrag oben, dass der Serverzwar gern eine
verschlüsselte Verbindung aufbauen möchte, es aber nicht dazu kommt, da
das entsprechende Protokoll von uns nicht angeboten wird? Sind unsere
TLS Settings OK oder ggf. zu restriktiv bzw. sollten wir was
nachbessern?

Ciao und danke,

  Schöpp

--
Christian Schoepplein - <chris (at) schoeppi.net> - http://schoeppi.net

signature.asc (180 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: TLS für ein- und ausgehende Verbindungen

Ralf Hildebrandt
* Christian Schoepplein <[hidden email]>:

> Hi,
>
> ab und an tauchen Einträge wie dieser hier in den Logs unserer
> Mailserver auf:
>
> May 28 12:46:39 myhostname postfix/smtpd[6602]: connect from  researchscan288.eecs.umich.edu[141.212.122.33]
> May 28 12:46:40 myhostname postfix/smtpd[6602]: Anonymous TLS connection established from researchscan288.eecs.umich.edu[141.212.122.33]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
> May 28 12:46:40 myhostname postfix/smtpd[6602]: lost connection after STARTTLS from researchscan288.eecs.umich.edu[141.212.122.33]
> May 28 12:46:40 myhostname postfix/smtpd[6602]: disconnect from researchscan288.eecs.umich.edu[141.212.122.33] ehlo=1 starttls=1
> commands=2
>
> TLS ist wie folgt auf den Servern konfiguriert:
>
> # /usr/sbin/postconf -n | grep tls
> smtp_tls_cert_file =
> /etc/ssl/private/myhostname.crt
> smtp_tls_key_file = /etc/ssl/private/myhostname.key
> smtp_tls_loglevel = 1
> smtp_use_tls = yes
> smtpd_tls_cert_file = /etc/ssl/private/myhostname.crt
> smtpd_tls_key_file =  /etc/ssl/private/myhostname.key
> smtpd_tls_loglevel = 1

Mal auf 2 hochdrehen

> smtpd_tls_received_header = yes
> smtpd_use_tls = yes
>
> Postfix-Version ist 3.0.3.
>
> Bedeutet der Logeintrag oben, dass der Serverzwar gern eine
> verschlüsselte Verbindung aufbauen möchte, es aber nicht dazu kommt, da
> das entsprechende Protokoll von uns nicht angeboten wird? Sind unsere
> TLS Settings OK oder ggf. zu restriktiv bzw. sollten wir was
> nachbessern?

Unklar, mehr logging nötig.

Man einigt sich auf ein Protokoll, aber dann machts bumm.
--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | http://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: TLS für ein- und ausgehende Verbindungen

Peter Buettner
In reply to this post by Christian Schoepplein
Moin,

... wieder Name schon sagt: Das sind Portscans von umich.edu.

Diese IP's landen bei mir in der fail2ban ip.blackliste und Ruhe ist..

Die TLS Einstellungn sind völlig OK.


Gruß
Peter Büttner

Am 30.05.2016 um 15:53 schrieb Christian Schoepplein:

> Hi,
>
> ab und an tauchen Einträge wie dieser hier in den Logs unserer
> Mailserver auf:
>
> May 28 12:46:39 myhostname postfix/smtpd[6602]: connect from
> researchscan288.eecs.umich.edu[141.212.122.33]
> May 28 12:46:40 myhostname postfix/smtpd[6602]: Anonymous TLS
> connection established from
> researchscan288.eecs.umich.edu[141.212.122.33]: TLSv1.2 with cipher
>  ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
> May 28 12:46:40 myhostname postfix/smtpd[6602]: lost connection after
> STARTTLS from researchscan288.eecs.umich.edu[141.212.122.33]
> May 28 12:46:40 myhostname postfix/smtpd[6602]: disconnect from
> researchscan288.eecs.umich.edu[141.212.122.33] ehlo=1 starttls=1
> commands=2
>
> TLS ist wie folgt auf den Servern konfiguriert:
>
> # /usr/sbin/postconf -n | grep tls
> smtp_tls_cert_file =
> /etc/ssl/private/myhostname.crt
> smtp_tls_key_file = /etc/ssl/private/myhostname.key
> smtp_tls_loglevel = 1
> smtp_use_tls = yes
> smtpd_tls_cert_file =
> /etc/ssl/private/myhostname.crt
> smtpd_tls_key_file =
> /etc/ssl/private/myhostname.key
> smtpd_tls_loglevel = 1
> smtpd_tls_received_header = yes
> smtpd_use_tls = yes
>
> Postfix-Version ist 3.0.3.
>
> Bedeutet der Logeintrag oben, dass der Serverzwar gern eine
> verschlüsselte Verbindung aufbauen möchte, es aber nicht dazu kommt, da
> das entsprechende Protokoll von uns nicht angeboten wird? Sind unsere
> TLS Settings OK oder ggf. zu restriktiv bzw. sollten wir was
> nachbessern?
>
> Ciao und danke,
>
>   Schöpp
>

Reply | Threaded
Open this post in threaded view
|

Re: TLS für ein- und ausgehende Verbindungen

Ralf Hildebrandt
* Peter Buettner <[hidden email]>:
> Moin,
>
> ... wieder Name schon sagt: Das sind Portscans von umich.edu.
>
> Diese IP's landen bei mir in der fail2ban ip.blackliste und Ruhe ist..

Ah stimmt, habe nicht auf den Hostnamen geachtet...

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | http://www.charite.de