Das Notes Forum

Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: Aragog am 08.05.15 - 09:30:45

Titel: TLS - Probleme über Probleme
Beitrag von: Aragog am 08.05.15 - 09:30:45

Guten Tag allerseits,

ich hoffe, ihr könnt einem Neuling in Sachen TLS auf die Sprünge helfen. Ich bin eigentlich mehr Entwickler, darf mich aber auch um die Administration unserer Domino-Server kümmern.
Wir haben zwei Domino-Server als SMTP-Server im Einsatz. Beide unter SLES11, Domino 9.01 FP3 IF 2, also meiner Meinung nach auf dem neuesten Stand.
Im Keyring der Server habe ich jeweils das passende SHA-256 Zertifikat, mittels KYRTOOL importiert da ja die Server Certificate Admin - DB nicht mehr dafür geeignet ist.
Ich habe es auch schon geschafft, erfolgreich TLS-Verbindungen aufzubauen. Leider habe ich aber sowohl bei ausgehenden als auch bei eingehenden Mails Probleme.

Bei eingehenden Mails:

Mails von einer bestimmten Domäne kommen an, ich sehe im ServerLog, dass das STARTTLS-Kommando kommt.
Dann passiert aber nichts, die Mail wird nicht empfangen.

Weitere Infos sehe ich nicht (Trotz  SMTPDEBUG=3 und SSL_Trace_Keyfile_Read=1).
Das ganze sieht im Log so aus:
05.05.2015 09:50:05   SMTP Server: xxx.xxx.de (XXX.XXX.XXX.XXX) connected
05.05.2015 09:50:05   SMTP Server [16975:00011-3367144304] State change from Greeting to Greeting
05.05.2015 09:50:05   SMTP Server [16975:00011-3367144304] Processing in Greeting state
05.05.2015 09:50:05   SMTP Server [16975:00011-3367144304] State change from Greeting to Connected
05.05.2015 09:50:05   SMTP Server [16975:00011-3367144304] Processing in Connected state
05.05.2015 09:50:05   SMTP Server [16975:00011-3367144304] EHLO command received
05.05.2015 09:50:05   SMTP Server [16975:00011-3367144304] Processing in Connected state
05.05.2015 09:50:05   SMTP Server [16975:00011-3367144304] STARTTLS command received
05.05.2015 09:50:05   SMTP Server [16975:00011-3367144304] Processing in Connected state
05.05.2015 09:50:05   SMTP Server:  xxx.xxx.de (XXX.XXX.XXX.XXX) disconnected. 0 messages received
 
Da es sich hierbei um einen wichtigen Kommunikationspartner handelt, kann die Situation so nicht bleiben. Daher habe ich TLS erstmal wieder deaktiviert.
Infos vom Kommunikationspartner zu erhalten, gestaltet sich schwierig ("Da müssen wir eine Ticket bei unserem Dienstleister aufmachen -> der muss wiederum ein Ticket bei seinem Dienstleister aufmachen" ... usw ...)

Bei ausgehenden Mails:

Diverse ausgehende Mails bleiben hängen, hauptsächlich dann, wenn die Mails an WEB.DE-Adressen gehen, aber auch andere Domänen sind betroffen.
Ich sehe dann solcherlei Meldungen im Log:
07.05.2015 09:56:51   TLS/SSL connection xxx.xxx.xxx.xx(19890)-yyy.yyy.yy.y(25) failed with received cipher spec not supported
07.05.2015 09:56:51   [15205:00026-3916716912] SMTPClient: SSL handshake error: 1046h

Bei IBM finde ich dazu folgendes:
http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=784D0D96BE3C7FEC85257D320046ABB9

RouterFallbackNonTLS=1 scheint zu helfen. Allerdings soll TLS ja eigentlich genutzt werden.

Es wäre mir auch geholfen, wenn es irgendeine Möglichkeit gäbe, TLS auf eine Liste erlaubter Domänen zu beschränken, aber solchen Komfort scheint Domino ja nicht zu bieten. Falls es dazu Add-On-produkte gibt, finde ich sie scheinbar nicht.

Wenn sich jemand Kompetentes hier aus dem Forum als Dienstleister anbieten möchte, kontaktiert mich. Wir nehmen auch gerne Geld in die Hand, es muss nur ASAP eine Lösung her.

Besten Dank
Aragog

Titel: Re: TLS - Probleme über Probleme
Beitrag von: (h)uMan am 08.05.15 - 13:05:21

Der Daniel Nashed hat zum Thema SSL/TLS einige Dinge geschrieben, siehe http://blog.nashcom.de/nashcomblog.nsf/dx/engage-conference-security-presentation.htm

Titel: Re: TLS - Probleme über Probleme
Beitrag von: Aragog am 11.05.15 - 07:13:01

Danke, dort sind ja noch einige interessante Infos zu finden.
Hat aber leider auch nichts bewirkt.

Ich beginne zu vermuten, dass es am Port 465 liegt. Nach allem, was ich im Netz so finde wird der ja zunehmend nicht mehr unterstützt.
Aber wie konfiguriere ich Domino so, dass TSL ausschließlich über Port 25 läuft?
Wenn ich  im Serverdokument unter Ports->Internet Ports->Mail die jeweiligen 465-Einträge durch 25 ersetze, läuft gar nichts mehr. Dann bekomme ich irgendwelche Bindsock-Fehler ...  :-:

Titel: Re: TLS - Probleme über Probleme
Beitrag von: (h)uMan am 11.05.15 - 07:49:27

Erlaube doch mal alle möglichen CipherSuites.
Ist bekannt, welche CipherSuites die Gegenstelle konfiguriert hat?

Eigentlich wird TLS auch über Port 25 unterstützt:

How to configure Domino for secure SMTP sessions using STARTTLS
http://www-01.ibm.com/support/docview.wss?uid=swg21108352

SMTP-Sitzungen mithilfe der STARTTLS-Erweiterung sichern
http://www-01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_securingsmtpsessionsusingthestarttlsextension_c.dita?lang=de

Titel: Re: TLS - Probleme über Probleme
Beitrag von: Aragog am 11.05.15 - 09:54:13

Danke für die Links, dort war ich auch schon.
Ich habe jetzt einfach nochmal Port 465 deaktiviert. Leider ohne Ergebnis.
Die CipherSuites habe ich so gesetzt, wie es Daniel Nashed in seinem Blog empfiehlt:

Code

notes.ini:   SSLCipherSpec=9D9C3D3C352F0A3339676B9E9F 

Welche CipherSuites die Gegenstelle benutzt, kann ich nicht sagen.

Wenn ich meine eigenen Server bei CheckTLS.com prüfe, ist alles bestens:

Titel: Re: TLS - Probleme über Probleme / GELÖST :-)
Beitrag von: Aragog am 11.05.15 - 12:13:54

So, habe nochmal genauer in das angehängte PDF von Daniels Blog geschaut. Hatte ich zuerst übersehen.
Der DEBUG_HANDSHAKE_ALL-Parameter war sehr nützlich  ;D

Wenn ich es richtig verstehe, nutzt die Gegenstelle SSLv2:

Code

11.05.2015 11:01:22.73 [22183:00012-3369266032] SSL_Handshake> Current Cipher 0x0000 (Unknown Cipher)
11.05.2015 11:01:22.73 [22183:00012-3369266032] SSL_Handshake> outgoing ->protocolVersion: 0303
11.05.2015 11:01:22.77 [22183:00012-3369266032] SSLReadRecord> Rejecting connection - record contentType not in range for SSLv3 or TLS
11.05.2015 11:01:22.77 [22183:00012-3369266032] SSLReadRecord> First 4 bytes of SSL/TLS record: 0x80 0xC2 0x01 0x03
11.05.2015 11:01:22.77 [22183:00012-3369266032] SSLReadRecord> This is probably an SSLv2 ClientHello record which is not supported by default to improve "out of the box" security
11.05.2015 11:01:22.77 [22183:00012-3369266032] SSLReadRecord> See the SSLv2 page on the Notes/Domino wiki for more information.
11.05.2015 11:01:22.77 [22183:00012-3369266032] SSL_Handshake> After handshake state= 3 Status= -6974
11.05.2015 11:01:22.77 [22183:00012-3369266032] SSL_Handshake> Exit Status = -6974
11.05.2015 11:01:22.77 [22183:00012-3369266032] int_MapSSLError> Mapping SSL error -6974 to 4171 [SSLProtocolVersionErr]

Also habe ich mal den Parameter "SSL_Enable_Insecure_SSLV2_Hello" gesetzt.

PROBLEM GELÖST  ;D

Danke euch allen für eure Tipps!

Titel: Re: TLS - Probleme über Probleme
Beitrag von: Tode am 11.05.15 - 12:41:58

Schön, dass es nun wieder funktioniert. Ich würde aber eine Lösung, die Dich zwingt, ein so uraltes Protokoll zu aktivieren, möglichst vermeiden:
Auszug aus diesem Link zu der INI- Variable (http://www.kalechi.com/doc/notesini.nsf/85255a87005060c585255a850068ca6f/8d29a47d1b8b682fc1257e0e007d5482!OpenDocument):

Zitat

However, note that we strongly advise against setting this variable unless you absolutely need to interoperate with an outdated SSL client that refuses to upgrade their software or configuration.

Titel: Re: TLS - Probleme über Probleme
Beitrag von: Aragog am 11.05.15 - 12:49:44

Da bin ich völlig bei dir  :)

Allerdings haben wir bisher TLS gar nicht eingesetzt und wir werden das auch nicht als Methode zur sicheren Datenübertragung bewerben.
Natürlich habe ich den Kommunikationspartner auch schon kontaktiert.

Mal sehen, ob sich da was tut. Ich befürchte, dass wir da lange warten dürfen, handelt es sich doch um einen großen "Player" im Gesundheitswesen.
Meiner Erfahrung nach kann man, je größer ein Unternehmen wird, eher steigende Unflexibilität als steigende Standardkonformität erwarten  ;)