(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt) | |||
Zeile 9: | Zeile 9: | ||
Mit der Version '''11.4.1.2''' wurde eine Aktualisierung der SSL Libary vorgenommen. Als SSL Libary wird hier OpenSSL eingesetzt. Die Aktualisierung war notwendig damit die TLS-Version 1.2 für die Applikationen auf der UTM zur Verfügung steht. | Mit der Version '''11.4.1.2''' wurde eine Aktualisierung der SSL Libary vorgenommen. Als SSL Libary wird hier OpenSSL eingesetzt. Die Aktualisierung war notwendig damit die TLS-Version 1.2 für die Applikationen auf der UTM zur Verfügung steht. | ||
Nach der Veröffentlichung der 11.4.1.2 sind vereinzelnd Probleme bei der Aushandlung der TLS-Verbindung für ausgehende SMTP-Verbindungen zu beobachten. Das Problem scheint an der SMTP/SSL-Implementierung der Gegenstelle liegen. | Nach der Veröffentlichung der 11.4.1.2 sind vereinzelnd Probleme bei der Aushandlung der TLS-Verbindung für ausgehende SMTP-Verbindungen zu beobachten. '''Das Problem scheint an der SMTP/SSL-Implementierung der Gegenstelle zu liegen.''' | ||
==Verifizieren== | ==Verifizieren== |
Aktuelle Version vom 16. April 2014, 10:12 Uhr
Betroffene Versionen
11.4.1.2
11.4.1.3
Beschreibung
Mit der Version 11.4.1.2 wurde eine Aktualisierung der SSL Libary vorgenommen. Als SSL Libary wird hier OpenSSL eingesetzt. Die Aktualisierung war notwendig damit die TLS-Version 1.2 für die Applikationen auf der UTM zur Verfügung steht.
Nach der Veröffentlichung der 11.4.1.2 sind vereinzelnd Probleme bei der Aushandlung der TLS-Verbindung für ausgehende SMTP-Verbindungen zu beobachten. Das Problem scheint an der SMTP/SSL-Implementierung der Gegenstelle zu liegen.
Verifizieren
Kommt beim ausführen folgendes Befehles keine TSL-Verbindung zustande besteht die Möglichkeit, dass das Ziel-System von dem Problem betroffen ist. Diesen Befehl können Sie nur als root per SSH auf der UTM ausführen.
openssl s_client -connect $ZIEL_MAIL_SYSTEM:25 -starttls smtp -state
Als Gegen-Test führen Sie den Befehl erneut aus und deaktivieren dabei die TLS-Version 1.2:
openssl s_client -connect $ZIEL_MAIL_SYSTEM:25 -starttls smtp -state -no_tls1_2
Kommt die Verbindung nun zustande ist das Ziel-System von dem Problem betroffen.
Log-Meldungen
Im Log der UTM ist dabei folgendes zu sehen:
ruleset=tls_server, arg1=SOFTWARE, relay=ZIEL_MAIL_SERVER, reject=403 4.7.0 TLS handshake failed.
Workaround
Aktuell kann man das Problem umgehen indem die TLS-Verschlüsselung für ausgehende E-Mails nicht verwendet wird. Hierzu müssen Sie eine Änderung an dem Template /etc/mail/access vornehmen. Am Ende des Templates muss folgende Zeile hinzugefügt werden.
Try_TLS: NO
Dadurch deaktivieren Sie die TLS-Verschlüsselung für alle ausgehenden E-Mails.
Das Template sollte im ganzen dann folgendermaßen aussehen:
localhost Relay 127.0.0.1 Relay {{if @ENABLE_GREET_PAUSE == 1 then}} GreetPause:localhost 0 GreetPause:127.0.0.1 0 {{foreach $x in @GREET_PAUSE_LIST do print "GreetPause:" . $x . "\n" done}} {{endif}} {{if @ENABLE_CONN_RATE_THROTTLE == 1 then}} ClientConn:localhost 0 ClientConn:127.0.0.1 0 {{foreach $x in @CLIENT_CONN_LIST do print "ClientConn:" . $x . "\n" done}} {{endif}} {{if @ENABLE_CONN_RATE_WINDOW == 1 then}} ClientRate:localhost 0 ClientRate:127.0.0.1 0 {{foreach $x in @CLIENT_RATE_LIST do print "ClientRate:" . $x . "\n" done}} ClientRate: {{print @RATE_LIMIT}} {{endif}} {{foreach $x in @RELAYING_LIST do print "" . $x . "\n" done}} Try_TLS: NO
Starten Sie anschließend das Mail-Relay neu.