Moin,
welche OpenSSL-Version setzt du ein? 3.0.x? Diese unterstützt TLS 1.3.
Da es sich hier um den Versand handelt, sind alle Parameter mit
smtp_tls_* relevant - nicht smtpd_tls_*, welche für den Emfpang wichtig
sind.
Wie wird die Verbindung zu mx-01-eu-central-1.prod.hydra.sophos.com
aufgebaut?
Bei mir ist z. B. folgende Zeile im Log zu finden:
Trusted TLS connection established to
mx-01-eu-central-1.prod.hydra.sophos.com[3.121.140.94]:25: TLSv1.3 with
cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519
server-signature RSA-PSS (2048 bits) server-digest SHA256
Gefordert wird hier vom Empfänger mindestens TLS 1.3, die Verbindung
scheint aber mit einer anderen Version aufgebaut zu werden. Warum man so
etwas als Empfänger konfiguriert, steht auf einem anderen Blatt.
Viele Grüße
Jan
Am 30.09.2024 15:20, schrieb Frank Röhm via postfix-users:
Hallo
ein Kunde hat Probleme von meinem Postfix (3.6.4) Mailserver (auf
Ubuntu
22.04) an Adressen von ladenburger.de zu mailen.
Folgende Fehlermeldung steht im mail.log:
Sep 30 07:09:30 ew6 postfix/smtp[722793]: 58C5FBF084:
to=<[email protected]>,
relay=mx-01-eu-central-1.prod.hydra.sophos.com[3.121.140.94]:25,
delay=0.41, delays=0.02/0.02/0.15/0.23, dsn=5.7.4, status=bounced (host
mx-01-eu-central-1.prod.hydra.sophos.com[3.121.140.94] said: 550 5.7.4
XGEMAIL_0006 Command rejected : The rejection of the message occurred
due to a mismatch in TLS versions between the configured TLS version is
Preferred TLS 1.3 for the recipient: [email protected] and the
sender: zimmerei-geiger.de TLS version is not available (in reply to
RCPT TO command))
Ich habe darüber nachgesucht aber nichts Einschlägiges dazu gefunden,
außer dass Sophos schuld sein sollte ;)
Mein postfix default zu smtpd_tls_protocols u.a.:
#postconf -d
...
smtpd_tls_CAfile =
smtpd_tls_CApath =
smtpd_tls_always_issue_session_ids = yes
smtpd_tls_ask_ccert = no
smtpd_tls_auth_only = no
smtpd_tls_ccert_verifydepth = 9
smtpd_tls_cert_file =
smtpd_tls_chain_files =
smtpd_tls_ciphers = medium
smtpd_tls_dcert_file =
smtpd_tls_dh1024_param_file =
smtpd_tls_dh512_param_file =
smtpd_tls_dkey_file = $smtpd_tls_dcert_file
smtpd_tls_eccert_file =
smtpd_tls_eckey_file = $smtpd_tls_eccert_file
smtpd_tls_eecdh_grade = auto
smtpd_tls_exclude_ciphers =
smtpd_tls_fingerprint_digest = ${{$compatibility_level} <level {3.6} ?
{md5} : {sha256}}
smtpd_tls_key_file = $smtpd_tls_cert_file
smtpd_tls_loglevel = 0
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_exclude_ciphers =
smtpd_tls_mandatory_protocols = >=TLSv1
smtpd_tls_protocols = >=TLSv1
smtpd_tls_received_header = no
smtpd_tls_req_ccert = no
smtpd_tls_security_level =
smtpd_tls_session_cache_database =
smtpd_tls_session_cache_timeout = 3600s
smtpd_tls_wrappermode = no
...
Also zu smtpd_tls_protocols habe ich gar keinen Eintrag.
Der Kunde meint, es hätte sonst immer funktioniert, aber ich hab an
meinem Postfix auch nichts geändert.
Hat jemand einen Tipp, was das sein könnte, muss ich da was tun oder
kann ich auf deren Server verweisen?
Danke.
Gruß franc
