Domino 9 und frühere Versionen > ND9: Administration & Userprobleme

StartTLS nur für bestimmte Hosts möglich?

<< < (2/2)

SD:
Da kann ich in unserem Fall damit leben. Das Problem wurde hier ja dadurch verursacht, dass die Empfängerseite TLS anbietet und uns als Absender dazu zwingt, dies auch zu nutzen.

Wir haben hier vier Szenarien vorliegen:

1) Empfängersystem akzeptiert nur TLS-Verbindungen (eingehend)
-> Wenn wir TLS (ausgehend) aus haben, lehnt der Empfänger alle unsere Verbindungen ab

2) Empfängersystem bietet keine TLS-Verschlüsselung an (eingehend)
-> StartTLS merkt das und schickt eben unverschlüsselt

3) Der Empfänger bietet TLS optional an (eingehend)
-> Wenn wir StartTLS an haben (ausgehend), geht es verschlüsselt raus, wenn nicht, dann eben nicht

4) Empfängersystem bietet TLS an (eingehend), es ist aber so kaputt, dass die Verbindung abbricht
-> Wenn wir StartTLS aktivieren, brechen alle Verbindungen zu diesen Empfängern ab


Mit StartTLS können wir also keine Verbindungen mehr zu 4) aufbauen, ohne StartTLS können wir keine Verbindungen mehr zu 1) aufbauen. Durch diesen Fallback-Parameter können wir es aber jetzt doch einschalten, da der Fall 4) dadurch ungefähr so abläuft, wie der Fall 2). Unverschlüsselte Verbindungen (ausgehend) wird es sowieso immer geben.

Bastel123:
Zu Punkt:

4) Empfängersystem bietet TLS an (eingehend), es ist aber so kaputt, dass die Verbindung abbricht
-> Wenn wir StartTLS aktivieren, brechen alle Verbindungen zu diesen Empfängern ab

Ist der Gegenseite bewusst, dass ihr System "kaputt" ist? Hast Du mal mit denen geredet? Oft ist es so, dass die gar nicht wissen, dass bei ihnen was falsch läuft. Die meisten Admins sind dann froh, wenn sie konkrete Hinweise bekommen (nicht: mit euch klappt das nicht, sondern Logs aus dem Mailgateway mit Zeitstempel und Fehler...).
Wenn die aber beratungsresistent sind sollte man seinen Chef informieren und den Mailverkehr mit denen einstellen. Man muss nicht alle Fehler der Welt auf seiner Seite beheben.

Gruß
Sebastian 

SD:
Ich gehe mal davon aus, dass denen das nicht bewusst ist. Allerdings hatte ich nach wenigen Minuten bereits 5 verschiedene Empfänger-Hosts in den Logs, mit 3 verschiedenen Fehlermeldungen. Inzwischen sind es deutlich mehr, als ich auf die schnelle zählen kann. Wenn mir mal irgendwann sehr, sehr langweilig ist, mache ich es mir vielleicht zur Lebensaufgabe alle TLS-Configs dieser Welt zum flutschen zu bringen, aber ich fürchte heute ist nicht dieser Tag. ;)

Navigation

[0] Themen-Index

[*] Vorherige Sete

Zur normalen Ansicht wechseln