Wie unterstützt ihr TLS?

[schroederk]

Hallo,

nachdem uns eine unserer Banken angeschrieben hat, dass sie mit uns nur noch über TLS kommunizieren wird, sahen wir uns erstmalig gezwungen, auf unserem Domino überhaupt TLS zu aktivieren.

D.h im Configuration Document unter Router/SMTP -> Advanced -> Commands and Extensions haben wir "SSL negotiated over TCP/IP port" aktiviert und im Server Document unter Ports -> Internet Ports -> Mail haben wir SMTP Inbound eingeschaltet (SSL port number 465).
Outbound haben wir weiterhin deaktiviert.
In der Notes.ini ist der folgende Eintrag gesetzt: ROUTERFALLBACKNONTLS=1

Jetzt fallen mir aber sehr viele Einträge im Log des Servers auf:
TLS/SSL connection xx.xx.xx.xx(21820) -> xx.xx.xx.xx(25) failed with rejected SSLv2 record

Versuchen die tatsächlich zwar verschlüsselt zu senden, aber mit diesem Steinzeit-Protokoll von vor 20 Jahren oder mehr?
Wieso funktionierte vorher ein Fallback auf unverschlüsselt, als TLS nicht enabled war, aber jetzt kein Fallback mehr?
Muss ich jetzt alle anschreiben, sie mögen doch bitte in diesem Jahrhundert ankommen und wenigstens den minimalen Standard unterstützen
oder bin ich da vielleicht doch total auf dem Holzweg?

[shiraz]

IBM hat auch lange gebraucht um diese möglich zu machen .....

[schroederk]

Also heißt das, ich musss die alle anschreiben?

Haltet es ihr für sinnvoll, wenn ich dem Domino auch SSLv2 erlaube?

Blöd, dass bei deaktiviertem TLS der Fallback auf unverschlüsselt funktioniert, aber nicht wenn es bei TLS ein Problem gibt (welcher Natur auch immer).

[ra.t]

Hallo...,
so eine Anforderung habe ich auch auf meinem Tisch.

Mustest du ein SSL-Zertifikat vorher auf dem Domino eintragen, auch wenn nur verschlüsselt empfangen werden soll ? Oder funktioniert das auch ohne (von den Fehlermeldungen des SMTP Task mal abgesehen)

Mfg
Ralf

[schroederk]

Da der Server ohnehin schon ein SSL-Zertifikat verpasst bekommen hatte (für den Webaccess einzelner User), musste ich mir keine Gedanken machen.
Ich bin der Technote von IBM gefolgt: http://www-01.ibm.com/support/docview.wss?uid=swg21108352

[Ralf_M_Petter]

Eventuell hilft der Notes.ini Eintrag SSL_ENABLE_INSECURE_SSLV2_HELLO =1. Dieser sollte helfen, dass Clients die beim Aufbau der Kommunikation kein TLS anbieten noch das alte unsichere Protokoll verwenden. Es muss halt dann klar sein, dass die Kommunikation dann nicht 100% sicher ist bei Verbindungen die so hergestellt werden. Aber besser als unverschlüsselt wahrscheinlich alle mal.
 

[hallo.dirk]

ich habe es nicht an, bei ca 50.000/Tag erfolgreichen eingehenden TLS Verbindungen und aktuell 3 Problemfällen sehe ich dazu auch keine Veranlassungen.

2 von den 3 Fällen benutzen das Programm Mail Marshal, einer hat das Problem gelöst (einen Bak ), indem die SSL Libraries des Programms aktualisiert wurden

[schroederk]

Ich habe letztlich die Zeile eingebaut, da wir doch so ca. alle 10-15 Minuten mindestens 1 Fall hatten, wo die Mail aufgrund SSLv2 abgelehnt wurde.
Und unser Einkauf wurde auch langsam nervös, da sie nicht erst alle Lieferanten anschreiben und darauf warten wollten, dass diese etwas ändern (100%ige Begründung der Lieferanten: Es läuft doch bei allen anderen, also müsst ihr das Problem lösen)