Wechseln zu:Navigation, Suche
Wiki
(Die Seite wurde neu angelegt: „ ==Betroffene Versionen== '''11.4.1.2''' <br> '''11.4.1.3''' ==Beschreibung== Mit der Version '''11.4.1.2''' wurde eine Aktualisierung der SSL Libary vorgen…“)
 
 
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 9: Zeile 9:
Mit der Version '''11.4.1.2''' wurde eine Aktualisierung der SSL Libary vorgenommen. Als SSL Libary wird hier OpenSSL eingesetzt. Die Aktualisierung war notwendig damit die TLS-Version 1.2 für die Applikationen auf der UTM zur Verfügung steht.  
Mit der Version '''11.4.1.2''' wurde eine Aktualisierung der SSL Libary vorgenommen. Als SSL Libary wird hier OpenSSL eingesetzt. Die Aktualisierung war notwendig damit die TLS-Version 1.2 für die Applikationen auf der UTM zur Verfügung steht.  


Nach der Veröffentlichung der 11.4.1.2  sind vereinzelnd Probleme bei der Aushandlung der TLS-Verbindung für ausgehende SMTP-Verbindungen zu beobachten. Das Problem scheint an der SMTP/SSL-Implementierung der Gegenstelle liegen.
Nach der Veröffentlichung der 11.4.1.2  sind vereinzelnd Probleme bei der Aushandlung der TLS-Verbindung für ausgehende SMTP-Verbindungen zu beobachten. '''Das Problem scheint an der SMTP/SSL-Implementierung der Gegenstelle zu liegen.'''


==Verifizieren==
==Verifizieren==


Kommt beim ausführen folgendes Befehles keine TSL-Verbindung zustande besteht die Möglichkeit, dass das Ziel-System von dem Problem betroffen ist
Kommt beim ausführen folgendes Befehles keine TSL-Verbindung zustande besteht die Möglichkeit, dass das Ziel-System von dem Problem betroffen ist. Diesen Befehl können Sie nur als root per SSH auf der UTM ausführen.


openssl s_client -connect $ZIEL_MAIL_SYSTEM:25 -starttls smtp -state
openssl s_client -connect $ZIEL_MAIL_SYSTEM:25 -starttls smtp -state
Zeile 21: Zeile 21:
openssl s_client -connect $ZIEL_MAIL_SYSTEM:25 -starttls smtp -state -no_tls1_2
openssl s_client -connect $ZIEL_MAIL_SYSTEM:25 -starttls smtp -state -no_tls1_2


Kommt die Verbindung nun zustande ist das Ziel-System von dem Problem betroffen.  
Kommt die Verbindung nun zustande ist das Ziel-System von dem Problem betroffen.


==Log-Meldungen==
==Log-Meldungen==

Aktuelle Version vom 16. April 2014, 10:12 Uhr

Betroffene Versionen

11.4.1.2
11.4.1.3

Beschreibung

Mit der Version 11.4.1.2 wurde eine Aktualisierung der SSL Libary vorgenommen. Als SSL Libary wird hier OpenSSL eingesetzt. Die Aktualisierung war notwendig damit die TLS-Version 1.2 für die Applikationen auf der UTM zur Verfügung steht.

Nach der Veröffentlichung der 11.4.1.2 sind vereinzelnd Probleme bei der Aushandlung der TLS-Verbindung für ausgehende SMTP-Verbindungen zu beobachten. Das Problem scheint an der SMTP/SSL-Implementierung der Gegenstelle zu liegen.

Verifizieren

Kommt beim ausführen folgendes Befehles keine TSL-Verbindung zustande besteht die Möglichkeit, dass das Ziel-System von dem Problem betroffen ist. Diesen Befehl können Sie nur als root per SSH auf der UTM ausführen.

openssl s_client -connect $ZIEL_MAIL_SYSTEM:25 -starttls smtp -state

Als Gegen-Test führen Sie den Befehl erneut aus und deaktivieren dabei die TLS-Version 1.2:

openssl s_client -connect $ZIEL_MAIL_SYSTEM:25 -starttls smtp -state -no_tls1_2

Kommt die Verbindung nun zustande ist das Ziel-System von dem Problem betroffen.

Log-Meldungen

Im Log der UTM ist dabei folgendes zu sehen:

ruleset=tls_server, arg1=SOFTWARE, relay=ZIEL_MAIL_SERVER, reject=403 4.7.0 TLS handshake failed.

Workaround

Aktuell kann man das Problem umgehen indem die TLS-Verschlüsselung für ausgehende E-Mails nicht verwendet wird. Hierzu müssen Sie eine Änderung an dem Template /etc/mail/access vornehmen. Am Ende des Templates muss folgende Zeile hinzugefügt werden.

Try_TLS: NO

Dadurch deaktivieren Sie die TLS-Verschlüsselung für alle ausgehenden E-Mails.

Das Template sollte im ganzen dann folgendermaßen aussehen:

localhost Relay
127.0.0.1 Relay

{{if @ENABLE_GREET_PAUSE == 1 then}}
GreetPause:localhost	0
GreetPause:127.0.0.1	0
{{foreach $x in @GREET_PAUSE_LIST do print "GreetPause:" . $x . "\n" done}}
{{endif}}

{{if @ENABLE_CONN_RATE_THROTTLE == 1 then}}
ClientConn:localhost	0
ClientConn:127.0.0.1	0
{{foreach $x in @CLIENT_CONN_LIST do print "ClientConn:" . $x . "\n" done}}
{{endif}}

{{if @ENABLE_CONN_RATE_WINDOW == 1 then}}
ClientRate:localhost	0
ClientRate:127.0.0.1	0
{{foreach $x in @CLIENT_RATE_LIST do print "ClientRate:" . $x . "\n" done}}
ClientRate:		{{print @RATE_LIMIT}}
{{endif}}

{{foreach $x in @RELAYING_LIST do print "" . $x . "\n" done}}


Try_TLS: NO

Starten Sie anschließend das Mail-Relay neu.