Domino 9 und frühere Versionen > ND9: Administration & Userprobleme

TLS - Probleme über Probleme

(1/2) > >>

Aragog:
Guten Tag allerseits,

ich hoffe, ihr könnt einem Neuling in Sachen TLS auf die Sprünge helfen. Ich bin eigentlich mehr Entwickler, darf mich aber auch um die Administration unserer Domino-Server kümmern.
Wir haben zwei Domino-Server als SMTP-Server im Einsatz. Beide unter SLES11, Domino 9.01 FP3 IF 2, also meiner Meinung nach auf dem neuesten Stand.
Im Keyring der Server habe ich jeweils das passende SHA-256 Zertifikat, mittels KYRTOOL importiert da ja die Server Certificate Admin - DB nicht mehr dafür geeignet ist.
Ich habe es auch schon geschafft, erfolgreich TLS-Verbindungen aufzubauen. Leider habe ich aber sowohl bei ausgehenden als auch bei eingehenden Mails Probleme.

Bei eingehenden Mails:

Mails von einer bestimmten Domäne kommen an, ich sehe im ServerLog, dass das STARTTLS-Kommando kommt.
Dann passiert aber nichts, die Mail wird nicht empfangen.

Weitere Infos sehe ich nicht (Trotz  SMTPDEBUG=3 und SSL_Trace_Keyfile_Read=1).
Das ganze sieht im Log so aus:
05.05.2015 09:50:05   SMTP Server: xxx.xxx.de (XXX.XXX.XXX.XXX) connected
05.05.2015 09:50:05   SMTP Server [16975:00011-3367144304] State change from Greeting to Greeting
05.05.2015 09:50:05   SMTP Server [16975:00011-3367144304] Processing in Greeting state
05.05.2015 09:50:05   SMTP Server [16975:00011-3367144304] State change from Greeting to Connected
05.05.2015 09:50:05   SMTP Server [16975:00011-3367144304] Processing in Connected state
05.05.2015 09:50:05   SMTP Server [16975:00011-3367144304] EHLO command received
05.05.2015 09:50:05   SMTP Server [16975:00011-3367144304] Processing in Connected state
05.05.2015 09:50:05   SMTP Server [16975:00011-3367144304] STARTTLS command received
05.05.2015 09:50:05   SMTP Server [16975:00011-3367144304] Processing in Connected state
05.05.2015 09:50:05   SMTP Server:  xxx.xxx.de (XXX.XXX.XXX.XXX) disconnected. 0 messages received
 
Da es sich hierbei um einen wichtigen Kommunikationspartner handelt, kann die Situation so nicht bleiben. Daher habe ich TLS erstmal wieder deaktiviert.
Infos vom Kommunikationspartner zu erhalten, gestaltet sich schwierig ("Da müssen wir eine Ticket bei unserem Dienstleister aufmachen -> der muss wiederum ein Ticket bei seinem Dienstleister aufmachen" ... usw ...)

Bei ausgehenden Mails:

Diverse ausgehende Mails bleiben hängen, hauptsächlich dann, wenn die Mails an WEB.DE-Adressen gehen, aber auch andere Domänen sind betroffen.
Ich sehe dann solcherlei Meldungen im Log:
07.05.2015 09:56:51   TLS/SSL connection xxx.xxx.xxx.xx(19890)-yyy.yyy.yy.y(25) failed with received cipher spec not supported
07.05.2015 09:56:51   [15205:00026-3916716912] SMTPClient: SSL handshake error: 1046h

Bei IBM finde ich dazu folgendes:
http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=784D0D96BE3C7FEC85257D320046ABB9

RouterFallbackNonTLS=1 scheint zu helfen. Allerdings soll TLS ja eigentlich genutzt werden.

Es wäre mir auch geholfen, wenn es irgendeine Möglichkeit gäbe, TLS auf eine Liste erlaubter Domänen zu beschränken, aber solchen Komfort scheint Domino ja nicht zu bieten. Falls es dazu Add-On-produkte gibt, finde ich sie scheinbar nicht.

Wenn sich jemand Kompetentes hier aus dem Forum als Dienstleister anbieten möchte, kontaktiert mich. Wir nehmen auch gerne Geld in die Hand, es muss nur ASAP eine Lösung her.

Besten Dank
Aragog

(h)uMan:
Der Daniel Nashed hat zum Thema SSL/TLS einige Dinge geschrieben, siehe http://blog.nashcom.de/nashcomblog.nsf/dx/engage-conference-security-presentation.htm

Aragog:
Danke, dort sind ja noch einige interessante Infos zu finden.
Hat aber leider auch nichts bewirkt.

Ich beginne zu vermuten, dass es am Port 465 liegt. Nach allem, was ich im Netz so finde wird der ja zunehmend nicht mehr unterstützt.
Aber wie konfiguriere ich Domino so, dass TSL ausschließlich über Port 25 läuft?
Wenn ich  im Serverdokument unter Ports->Internet Ports->Mail die jeweiligen 465-Einträge durch 25 ersetze, läuft gar nichts mehr. Dann bekomme ich irgendwelche Bindsock-Fehler ...  :-:

(h)uMan:
Erlaube doch mal alle möglichen CipherSuites.
Ist bekannt, welche CipherSuites die Gegenstelle konfiguriert hat?

Eigentlich wird TLS auch über Port 25 unterstützt:

How to configure Domino for secure SMTP sessions using STARTTLS
http://www-01.ibm.com/support/docview.wss?uid=swg21108352

SMTP-Sitzungen mithilfe der STARTTLS-Erweiterung sichern
http://www-01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_securingsmtpsessionsusingthestarttlsextension_c.dita?lang=de

Aragog:
Danke für die Links, dort war ich auch schon.
Ich habe jetzt einfach nochmal Port 465 deaktiviert. Leider ohne Ergebnis.
Die CipherSuites habe ich so gesetzt, wie es Daniel Nashed in seinem Blog empfiehlt:


--- Code: ---notes.ini:   SSLCipherSpec=9D9C3D3C352F0A3339676B9E9F
--- Ende Code ---

Welche CipherSuites die Gegenstelle benutzt, kann ich nicht sagen.

Wenn ich meine eigenen Server bei CheckTLS.com prüfe, ist alles bestens:

Navigation

[0] Themen-Index

[#] Nächste Seite