Domino 9 und frühere Versionen > ND9: Administration & Userprobleme
StartTLS nur für bestimmte Hosts möglich?
SD:
Guten Tag,
ich hatte vor einiger Zeit mal StartTLS aktiviert, es aber nach kurzer Zeit wieder abgeschaltet, weil innerhalb kürzester Zeit mit dutzenden Empfängersystemen die Verbindung abgebrochen hat und keine Mail-Übertragung mehr möglich war, während es bei anderen ging. Mit dutzenden Mailadministratoren aus der ganzen Welt auszudiskutieren, warum das im jeweiligen Einzelfall jetzt konkret nicht funktioniert, ist leider alles andere als praktikabel.
Gelegentlich kommen aber auch Administratoren auf die Idee eine (eingehende) TLS-Verbindung zu erzwingen. Ich persönlich denke ja, das ist ein guter Weg, um Ressourcen zu sparen, weil der Server dann dramatisch weniger E-Mails zur Verarbeitung in die Hand bekommen dürfte, aber manche Admins tun das eben trotzdem.
Da stellt sich mir die Frage: Gibt es einen Weg StartTLS nur für bestimmte Hosts oder Domänen einzuschalten? So dass es grundsätzlich aus ist, aber für die, die es erzwingen, an? Oder andersrum: Grundsätzlich eingeschaltet, aber die Hosts, bei denen die Verbindung abbricht, kann man ausnehmen?
Gruß
Stefan
Patrick Schneider:
--- Zitat von: SD am 29.03.19 - 13:33:42 ---Da stellt sich mir die Frage: Gibt es einen Weg StartTLS nur für bestimmte Hosts oder Domänen einzuschalten? So dass es grundsätzlich aus ist, aber für die, die es erzwingen, an? Oder andersrum: Grundsätzlich eingeschaltet, aber die Hosts, bei denen die Verbindung abbricht, kann man ausnehmen?
--- Ende Zitat ---
Man kann entweder die Cipher so einstellen, dass man möglichst viele Server abdeckt (also auch alte und eigentlich unsichere Cipher aktivieren).
Oder (wenn man mehrere Domino-Server hat) das Routing so konfigurieren, dass ein Domino-Server mit StartTLS raussendet und ein anderer die Domains abbekommt, die StartTLS nicht auf die Reihe bekommen.
Diese Domain-Listen müssen natürlich manuell gepflegt werden.
Ein automatischer Fallback auf unverschlüsseltes SMTP bei einem Fehler nach StartTLS (inkompatible Cipher) funktioniert meines Wissens leider nicht. Wir haben daher leider die alten Cipher aktivieren müssen.
hallo.dirk:
Daniel Nashed’s Spam Geek kann sowas meine ich, zumindest Eingehend habe ich es auch heute noch so am laufen.
Allerdings ist das kein Tool welches man installiert und fertig, da müsstest du mit ihm drüber sprechen.
Gesendet von iPad mit Tapatalk
SD:
--- Zitat von: Patrick Schneider am 29.03.19 - 13:51:34 ---Oder (wenn man mehrere Domino-Server hat) das Routing so konfigurieren, dass ein Domino-Server mit StartTLS raussendet und ein anderer die Domains abbekommt, die StartTLS nicht auf die Reihe bekommen.
Diese Domain-Listen müssen natürlich manuell gepflegt werden.
Ein automatischer Fallback auf unverschlüsseltes SMTP bei einem Fehler nach StartTLS (inkompatible Cipher) funktioniert meines Wissens leider nicht. Wir haben daher leider die alten Cipher aktivieren müssen.
--- Ende Zitat ---
Das scheint wohl auch der "offizielle" Workaround von IBM selbst zu sein: https://www-01.ibm.com/support/docview.wss?uid=swg21570039
Ich teste gerade den Parameter "RouterFallbackNonTLS=1". Der scheint offenbar zu funktionieren und mich jetzt zu retten. Diverse TLS-Verbindungen funktionieren nicht, aber wenn ich das gerade richtig sehe, gehen diese Mails jetzt trotzdem raus (im zweiten Versuch & ohne TLS). Ich hoffe mal, das gilt dann auch für alle Fehler, die so auftreten können. Bisher habe ich "SSL handshake error: 1C7Ah" (ich vermute mal nicht supportete Cipher) und "SSL Connection Policy error: 3AFEh" (SSL Certificate is Invalid) bekommen.
hallo.dirk:
Ja ausgehend habe ich das auch so (mit dem ausgeschalteten TLS Fallback)
Allerdings ist das nicht, was andere (Exchange) unter Erzwungenem TLS verstehen.
Hier geht es ja darum, dass wenn dir die Gegenseite kein TLS anbietet die Mail nicht übertragen wird.
Domino würde dass hier eben unverschlüsselt machen....
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln