Known Issue UTM V11-SMTP STARTTLS - Versionsgeschichte

Christian: /* Beschreibung */

2014-04-16T09:12:32Z

Beschreibung

← Nächstältere Version		Version vom 16. April 2014, 11:12 Uhr
Zeile 9:		Zeile 9:
	Mit der Version '''11.4.1.2''' wurde eine Aktualisierung der SSL Libary vorgenommen. Als SSL Libary wird hier OpenSSL eingesetzt. Die Aktualisierung war notwendig damit die TLS-Version 1.2 für die Applikationen auf der UTM zur Verfügung steht.		Mit der Version '''11.4.1.2''' wurde eine Aktualisierung der SSL Libary vorgenommen. Als SSL Libary wird hier OpenSSL eingesetzt. Die Aktualisierung war notwendig damit die TLS-Version 1.2 für die Applikationen auf der UTM zur Verfügung steht.

	Nach der Veröffentlichung der 11.4.1.2 sind vereinzelnd Probleme bei der Aushandlung der TLS-Verbindung für ausgehende SMTP-Verbindungen zu beobachten. '''Das Problem scheint an der SMTP/SSL-Implementierung der Gegenstelle liegen.'''		Nach der Veröffentlichung der 11.4.1.2 sind vereinzelnd Probleme bei der Aushandlung der TLS-Verbindung für ausgehende SMTP-Verbindungen zu beobachten. '''Das Problem scheint an der SMTP/SSL-Implementierung der Gegenstelle zu liegen.'''

	==Verifizieren==		==Verifizieren==

Christian: /* Beschreibung */

2014-04-16T09:12:15Z

Beschreibung

← Nächstältere Version		Version vom 16. April 2014, 11:12 Uhr
Zeile 9:		Zeile 9:
	Mit der Version '''11.4.1.2''' wurde eine Aktualisierung der SSL Libary vorgenommen. Als SSL Libary wird hier OpenSSL eingesetzt. Die Aktualisierung war notwendig damit die TLS-Version 1.2 für die Applikationen auf der UTM zur Verfügung steht.		Mit der Version '''11.4.1.2''' wurde eine Aktualisierung der SSL Libary vorgenommen. Als SSL Libary wird hier OpenSSL eingesetzt. Die Aktualisierung war notwendig damit die TLS-Version 1.2 für die Applikationen auf der UTM zur Verfügung steht.

	Nach der Veröffentlichung der 11.4.1.2 sind vereinzelnd Probleme bei der Aushandlung der TLS-Verbindung für ausgehende SMTP-Verbindungen zu beobachten. Das Problem scheint an der SMTP/SSL-Implementierung der Gegenstelle liegen.		Nach der Veröffentlichung der 11.4.1.2 sind vereinzelnd Probleme bei der Aushandlung der TLS-Verbindung für ausgehende SMTP-Verbindungen zu beobachten. '''Das Problem scheint an der SMTP/SSL-Implementierung der Gegenstelle liegen.'''

	==Verifizieren==		==Verifizieren==

Christian: /* Verifizieren */

2014-04-16T08:46:41Z

Verifizieren

← Nächstältere Version		Version vom 16. April 2014, 10:46 Uhr
Zeile 13:		Zeile 13:
	==Verifizieren==		==Verifizieren==

	Kommt beim ausführen folgendes Befehles keine TSL-Verbindung zustande besteht die Möglichkeit, dass das Ziel-System von dem Problem betroffen ist		Kommt beim ausführen folgendes Befehles keine TSL-Verbindung zustande besteht die Möglichkeit, dass das Ziel-System von dem Problem betroffen ist. Diesen Befehl können Sie nur als root per SSH auf der UTM ausführen.

	openssl s_client -connect $ZIEL_MAIL_SYSTEM:25 -starttls smtp -state		openssl s_client -connect $ZIEL_MAIL_SYSTEM:25 -starttls smtp -state
Zeile 21:		Zeile 21:
	openssl s_client -connect $ZIEL_MAIL_SYSTEM:25 -starttls smtp -state -no_tls1_2		openssl s_client -connect $ZIEL_MAIL_SYSTEM:25 -starttls smtp -state -no_tls1_2

	Kommt die Verbindung nun zustande ist das Ziel-System von dem Problem betroffen.		Kommt die Verbindung nun zustande ist das Ziel-System von dem Problem betroffen.

	==Log-Meldungen==		==Log-Meldungen==

Christian: Die Seite wurde neu angelegt: „ ==Betroffene Versionen== '''11.4.1.2'''
'''11.4.1.3''' ==Beschreibung== Mit der Version '''11.4.1.2''' wurde eine Aktualisierung der SSL Libary vorgen…“

2014-04-16T08:44:38Z

Die Seite wurde neu angelegt: „ ==Betroffene Versionen== '''11.4.1.2''' <br> '''11.4.1.3''' ==Beschreibung== Mit der Version '''11.4.1.2''' wurde eine Aktualisierung der SSL Libary vorgen…“

Neue Seite

==Betroffene Versionen==

'''11.4.1.2''' <br>
'''11.4.1.3'''

==Beschreibung==

Mit der Version '''11.4.1.2''' wurde eine Aktualisierung der SSL Libary vorgenommen. Als SSL Libary wird hier OpenSSL eingesetzt. Die Aktualisierung war notwendig damit die TLS-Version 1.2 für die Applikationen auf der UTM zur Verfügung steht.

Nach der Veröffentlichung der 11.4.1.2 sind vereinzelnd Probleme bei der Aushandlung der TLS-Verbindung für ausgehende SMTP-Verbindungen zu beobachten. Das Problem scheint an der SMTP/SSL-Implementierung der Gegenstelle liegen.

==Verifizieren==

Kommt beim ausführen folgendes Befehles keine TSL-Verbindung zustande besteht die Möglichkeit, dass das Ziel-System von dem Problem betroffen ist

openssl s_client -connect $ZIEL_MAIL_SYSTEM:25 -starttls smtp -state

Als Gegen-Test führen Sie den Befehl erneut aus und deaktivieren dabei die TLS-Version 1.2:

openssl s_client -connect $ZIEL_MAIL_SYSTEM:25 -starttls smtp -state -no_tls1_2

Kommt die Verbindung nun zustande ist das Ziel-System von dem Problem betroffen.

==Log-Meldungen==

Im Log der UTM ist dabei folgendes zu sehen:

<pre>ruleset=tls_server, arg1=SOFTWARE, relay=ZIEL_MAIL_SERVER, reject=403 4.7.0 TLS handshake failed.</pre>

==Workaround==

Aktuell kann man das Problem umgehen indem die TLS-Verschlüsselung für ausgehende E-Mails nicht verwendet wird.
Hierzu müssen Sie eine Änderung an dem Template /etc/mail/access vornehmen. Am Ende des Templates muss folgende Zeile hinzugefügt werden.
<pre>Try_TLS: NO</pre>
Dadurch '''deaktivieren''' Sie die '''TLS-Verschlüsselung''' für alle ausgehenden E-Mails.

Das Template sollte im ganzen dann folgendermaßen aussehen:

<pre>
localhost Relay
127.0.0.1 Relay

{{if @ENABLE_GREET_PAUSE == 1 then}}
GreetPause:localhost 0
GreetPause:127.0.0.1 0
{{foreach $x in @GREET_PAUSE_LIST do print "GreetPause:" . $x . "\n" done}}
{{endif}}

{{if @ENABLE_CONN_RATE_THROTTLE == 1 then}}
ClientConn:localhost 0
ClientConn:127.0.0.1 0
{{foreach $x in @CLIENT_CONN_LIST do print "ClientConn:" . $x . "\n" done}}
{{endif}}

{{if @ENABLE_CONN_RATE_WINDOW == 1 then}}
ClientRate:localhost 0
ClientRate:127.0.0.1 0
{{foreach $x in @CLIENT_RATE_LIST do print "ClientRate:" . $x . "\n" done}}
ClientRate: {{print @RATE_LIMIT}}
{{endif}}

{{foreach $x in @RELAYING_LIST do print "" . $x . "\n" done}}

Try_TLS: NO
</pre>

Starten Sie anschließend das Mail-Relay neu.

Known Issue UTM V11-SMTP STARTTLS - Versionsgeschichte

Christian: /* Beschreibung */

Christian: /* Beschreibung */

Christian: /* Verifizieren */

Christian: Die Seite wurde neu angelegt: „ ==Betroffene Versionen== '''11.4.1.2''' '''11.4.1.3''' ==Beschreibung== Mit der Version '''11.4.1.2''' wurde eine Aktualisierung der SSL Libary vorgen…“

Christian: Die Seite wurde neu angelegt: „ ==Betroffene Versionen== '''11.4.1.2'''
'''11.4.1.3''' ==Beschreibung== Mit der Version '''11.4.1.2''' wurde eine Aktualisierung der SSL Libary vorgen…“