alte Mail-Clients und neue Server (SSLv3?)

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
5 messages Options
Reply | Threaded
Open this post in threaded view
|

alte Mail-Clients und neue Server (SSLv3?)

"Frank J. Dürring"
Hallo zusammen,

ich habe leider ein Problem mit alten Servern (Exchange 2010), Kopier-&Scan-Systemen und Mail-Clients (z.B. macOS 10.11 El Capitan) etc.
Ja ich weiß das diese Systeme nicht mehr supported werden, aber sie liegen nicht in einer Verwaltung und ich hab die Kunde bereits eindringlich darauf hingewiesen. 

Mein Problem ist das Sie weiterhin E-Mails versenden möchten und mit meinem aktuellen Mailserver leider nicht mehr sprechen können, ich vermute es liegt am alten Encoding von SSLv3.
Jetzt möchte ich diese Kunden zumindest so gut es geht weiter versorgen, die Frage ist wie?

Der neue Mailserver hat diese Konfiguration (main.cf)

Die Fehlermeldung sieht so aus:

Nov 16 19:15:07 mx10 dovecot: pop3-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=217.92.555.555, lip=49.12.999.999, TLS handshaking: SSL_accept() failed: error:1420918C:SSL routines:tls_early_post_process_client_hello:version too low, session=<X4CkWz20dl7ZXEzf>

Wie macht ihr sowas?
  • Radikal die Kunden rauswerfen?
  • Die Konfiguration des (neuen) Mailservers aufweichen?
  • Einen zweiten Mailserver für altes Encoding bereitstellen?

Oder habe ich eine schlechte Konfiguration?
Das mag ich nicht ausschließen, wobei 95% meiner Kunden keinerlei Problem damit haben.

Danke und Gruß Frank.



smime.p7s (5K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: alte Mail-Clients und neue Server (SSLv3?)

Jonny Oschätzky
Hallo Frank,

deine Postfix-TLS-Konfiguration sieht recht solide aus, der Log-Eintrag
stammt aber von Dovecot, so dass ich da keinen direkten Zusammenhang
herstellen kann.

Ich würde am Mailserver bei der Verbindungssicherheit keine faulen
Kompromisse machen, weil davon auch die Kunden mit aktuellen Clients
beeinträchtigt werden könnten und das würde ich nicht wollen. Radikal
alte Systeme rauszuwerfen halte ich allerdings ebenfalls nicht für
ideal, denn wer will schon Kunden verlieren?

Wenn es also möglich ist, nutze Option drei und richte für die
Altsysteme einen anderen Server ein, der auch noch schwächere Ciphers
oder gar SSLv3 *grusel* spricht. Eventuell kannst du einfach stunnel
oder nginx als Reverse-Proxy verwenden, der dann die Verbindung zum
Mailserver beispielsweise mit TLSv1.2 und ECDHE aufbaut.
Das hat den Vorteil, dass die Verbindungen der Kunden mit aktuellen
Clients auch nach aktuellen Sicherheitsstandards geschützt sind. Nur die
Verbindungen von antiken Systemen können eventuell kompromittiert
werden, aber diese Kunden interessieren sich ja sowieso nicht dafür,
sonst würden sie diese Systeme nicht mehr ans Internet lassen. ;-)

Exchange 2010 kann übrigens TLSv1.2 und ECDHE-Ciphers, wenn man das
Betriebssystem auf den aktuellen Patchlevel bringt und das Ganze dann in
der Registry aktiviert. Bei Microsoft gibt es Hinweise dazu - das aber
nur am Rande.

Grüße,
Jonny
Reply | Threaded
Open this post in threaded view
|

Re: alte Mail-Clients und neue Server (SSLv3?)

Robert Schetterer-2
In reply to this post by "Frank J. Dürring"
Am 25.11.2020 um 17:43 schrieb "Frank J. Dürring":
> Hallo zusammen,
>
> ich habe leider ein Problem mit alten Servern (Exchange 2010),


https://docs.microsoft.com/de-de/microsoft-365/enterprise/exchange-2010-end-of-support?view=o365-worldwide

Exchange Server 2010 hat am 13. Oktober 2020das Ende der Unterstützung
erreicht

ist natuerlich ein bekanntes Problem, du kannst natuerlich einen
Workaround finden, aber wenn du jemand dis Schmerzen nimmst
wird er es hinausschieben....

> Kopier-&Scan-Systemen und Mail-Clients (z.B. macOS 10.11 El Capitan) etc.
> Ja ich weiß das diese Systeme nicht mehr supported werden, aber sie
> liegen *nicht* in einer Verwaltung und ich hab die Kunde bereits
> eindringlich darauf hingewiesen.
>
> Mein Problem ist das Sie weiterhin E-Mails versenden möchten und mit
> meinem aktuellen Mailserver leider nicht mehr sprechen können, ich
> vermute es liegt am alten Encoding von SSLv3.
> Jetzt möchte ich diese Kunden zumindest so gut es geht weiter versorgen,
> die Frage ist wie?
>
> Der neue Mailserver hat diese Konfiguration (*main.cf)*
> https://pastebin.com/PHCsWAbU <https://pastebin.com/PHCsWAbU>
>
> Die Fehlermeldung sieht so aus:
>
>> Nov 16 19:15:07 mx10 dovecot: pop3-login: Disconnected (no auth
>> attempts in 1 secs): user=<>, rip=217.92.555.555, lip=49.12.999.999,
>> TLS handshaking: SSL_accept() failed: error:1420918C:SSL
>> routines:tls_early_post_process_client_hello:version too low,
>> session=<X4CkWz20dl7ZXEzf>
>
> Wie macht ihr sowas?
>
>   * Radikal die Kunden rauswerfen?
>   * Die Konfiguration des (neuen) Mailservers aufweichen?
>   * Einen zweiten Mailserver für altes Encoding bereitstellen?
>
>
> Oder habe ich eine schlechte Konfiguration?
> Das mag ich nicht ausschließen, wobei 95% meiner Kunden keinerlei
> Problem damit haben.
>
> Danke und Gruß Frank.
>
>


--
[*] sys4 AG

https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|

Re: alte Mail-Clients und neue Server (SSLv3?)

Aleksandar Lazic (pf-u-de)
In reply to this post by "Frank J. Dürring"
Hallo.

On 25.11.20 17:43, "Frank J. Dürring" wrote:

> Hallo zusammen,
>
> ich habe leider ein Problem mit alten Servern (Exchange 2010), Kopier-&Scan-Systemen und Mail-Clients (z.B. macOS 10.11 El Capitan) etc.
> Ja ich weiß das diese Systeme nicht mehr supported werden, aber sie liegen *nicht* in einer Verwaltung und ich hab die Kunde bereits eindringlich darauf hingewiesen.
>
> Mein Problem ist das Sie weiterhin E-Mails versenden möchten und mit meinem aktuellen Mailserver leider nicht mehr sprechen können, ich vermute es liegt am alten Encoding von SSLv3.
> Jetzt möchte ich diese Kunden zumindest so gut es geht weiter versorgen, die Frage ist wie?
>
> Der neue Mailserver hat diese Konfiguration (*main.cf)*
> https://pastebin.com/PHCsWAbU <https://pastebin.com/PHCsWAbU>
>
> Die Fehlermeldung sieht so aus:
>
>> Nov 16 19:15:07 mx10 dovecot: pop3-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=217.92.555.555, lip=49.12.999.999, TLS handshaking: SSL_accept() failed: error:1420918C:SSL routines:tls_early_post_process_client_hello:version too low, session=<X4CkWz20dl7ZXEzf>
>
> Wie macht ihr sowas?
>
>   * Radikal die Kunden rauswerfen?
>   * Die Konfiguration des (neuen) Mailservers aufweichen?
>   * Einen zweiten Mailserver für altes Encoding bereitstellen?

Ich würde einen HAProxy davor setzten für diese Kunden unter einem eigenen Namen z. B. oldmail.DOMAIN.
Dort kann man dann eine "alte konfig" einsetzten und sobald die Kunden das nicht mehr brauchen kann
man das abbauen.

https://wiki2.dovecot.org/HAProxy
https://www.haproxy.com/blog/efficient-smtp-relay-infrastructure-with-postfix-and-load-balancers/

> Oder habe ich eine schlechte Konfiguration?
> Das mag ich nicht ausschließen, wobei 95% meiner Kunden keinerlei Problem damit haben.
>
> Danke und Gruß Frank.

Jm2c

LG
Aleks
Reply | Threaded
Open this post in threaded view
|

Re: alte Mail-Clients und neue Server (SSLv3?)

Patrick Ben Koetter-2
In reply to this post by "Frank J. Dürring"
Hallo,

* "Frank J. Dürring" <[hidden email]>:
> Hallo zusammen,
>
> ich habe leider ein Problem mit alten Servern (Exchange 2010), Kopier-&Scan-Systemen und Mail-Clients (z.B. macOS 10.11 El Capitan) etc.
> Ja ich weiß das diese Systeme nicht mehr supported werden, aber sie liegen nicht in einer Verwaltung und ich hab die Kunde bereits eindringlich darauf hingewiesen.
>
> Mein Problem ist das Sie weiterhin E-Mails versenden möchten und mit meinem aktuellen Mailserver leider nicht mehr sprechen können, ich vermute es liegt am alten Encoding von SSLv3.
> Jetzt möchte ich diese Kunden zumindest so gut es geht weiter versorgen, die Frage ist wie?

ich handle nach diesem (alten) Motto: „Be liberal in what you accept and
conservative in what you send.“

Diesem Motto folgend würde ich SSLv3 auf Seite des Postfix smtpd-Servers
akkzeptieren und auf Seite des Postfix smtp-Clients TLSv1.1+ fahren.

Wenn Du dann noch Probleme mit Zielen, die kein TLSv1.1+ anbieten, kannst Du
mit smtp_tls_policy_maps fallweise gezielt Ausnahmen gestatten.


> Der neue Mailserver hat diese Konfiguration (main.cf)
> https://pastebin.com/PHCsWAbU <https://pastebin.com/PHCsWAbU>
>
> Die Fehlermeldung sieht so aus:
>
> > Nov 16 19:15:07 mx10 dovecot: pop3-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=217.92.555.555, lip=49.12.999.999, TLS handshaking: SSL_accept() failed: error:1420918C:SSL routines:tls_early_post_process_client_hello:version too low, session=<X4CkWz20dl7ZXEzf>
>
> Wie macht ihr sowas?
> Radikal die Kunden rauswerfen?
> Die Konfiguration des (neuen) Mailservers aufweichen?
> Einen zweiten Mailserver für altes Encoding bereitstellen?
Als workaround siehe oben und dann würde ich eine Sundown-Phase ankündigen und
den Kunden so ausreichend Zeit geben, ihre Server an die neuen
Policies/Standards anzupassen.

Damit das auch klappt, würde ich denen in der Benachrichtigung auch gleich
Links mit Verweisen auf Updates/Upgrades senden, damit sie loslegen können.


> Oder habe ich eine schlechte Konfiguration?

Deine Config kontrolliert die Aussenwelt, aber nicht die Deine. Damit meine
ich, Du legst den anderen Bedingungen auf zu denen sie Einliefern dürfen, aber
selbst sieht Deine TLS Policy keine Anpassung an TLS-Standards der Gegenwart
für den smtp-Client vor.

Ich persönlich würde es, wie oben beschrieben, genau andersrum machen und den
Teil der Welt kontrollieren auf den ich selbst unmittelbar Einfluss nehmen
kann.

> Das mag ich nicht ausschließen, wobei 95% meiner Kunden keinerlei Problem damit haben.

Es sind immer die Ausnahmen, welche die Arbeit machen. ;-)

p@rick




>
> Danke und Gruß Frank.
>
>



--
[*] sys4 AG

https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein


smime.p7s (5K) Download Attachment