StartTLS nur für bestimmte Hosts möglich?

[SD]

Guten Tag,

ich hatte vor einiger Zeit mal StartTLS aktiviert, es aber nach kurzer Zeit wieder abgeschaltet, weil innerhalb kürzester Zeit mit dutzenden Empfängersystemen die Verbindung abgebrochen hat und keine Mail-Übertragung mehr möglich war, während es bei anderen ging. Mit dutzenden Mailadministratoren aus der ganzen Welt auszudiskutieren, warum das im jeweiligen Einzelfall jetzt konkret nicht funktioniert, ist leider alles andere als praktikabel.

Gelegentlich kommen aber auch Administratoren auf die Idee eine (eingehende) TLS-Verbindung zu erzwingen. Ich persönlich denke ja, das ist ein guter Weg, um Ressourcen zu sparen, weil der Server dann dramatisch weniger E-Mails zur Verarbeitung in die Hand bekommen dürfte, aber manche Admins tun das eben trotzdem.

Da stellt sich mir die Frage: Gibt es einen Weg StartTLS nur für bestimmte Hosts oder Domänen einzuschalten? So dass es grundsätzlich aus ist, aber für die, die es erzwingen, an? Oder andersrum: Grundsätzlich eingeschaltet, aber die Hosts, bei denen die Verbindung abbricht, kann man ausnehmen?

Gruß
Stefan

[Patrick Schneider]

Da stellt sich mir die Frage: Gibt es einen Weg StartTLS nur für bestimmte Hosts oder Domänen einzuschalten? So dass es grundsätzlich aus ist, aber für die, die es erzwingen, an? Oder andersrum: Grundsätzlich eingeschaltet, aber die Hosts, bei denen die Verbindung abbricht, kann man ausnehmen?

Man kann entweder die Cipher so einstellen, dass man möglichst viele Server abdeckt (also auch alte und eigentlich unsichere Cipher aktivieren).
Oder (wenn man mehrere Domino-Server hat) das Routing so konfigurieren, dass ein Domino-Server mit StartTLS raussendet und ein anderer die Domains abbekommt, die StartTLS nicht auf die Reihe bekommen.
Diese Domain-Listen müssen natürlich manuell gepflegt werden.
Ein automatischer Fallback auf unverschlüsseltes SMTP bei einem Fehler nach StartTLS (inkompatible Cipher) funktioniert meines Wissens leider nicht. Wir haben daher leider die alten Cipher aktivieren müssen.

[hallo.dirk]

Daniel Nashed’s Spam Geek kann sowas meine ich, zumindest Eingehend habe ich es auch heute noch so am laufen.

Allerdings ist das kein Tool welches man installiert und fertig, da müsstest du mit ihm drüber sprechen.




Gesendet von iPad mit Tapatalk

[SD]

Oder (wenn man mehrere Domino-Server hat) das Routing so konfigurieren, dass ein Domino-Server mit StartTLS raussendet und ein anderer die Domains abbekommt, die StartTLS nicht auf die Reihe bekommen.
Diese Domain-Listen müssen natürlich manuell gepflegt werden.
Ein automatischer Fallback auf unverschlüsseltes SMTP bei einem Fehler nach StartTLS (inkompatible Cipher) funktioniert meines Wissens leider nicht. Wir haben daher leider die alten Cipher aktivieren müssen.

Das scheint wohl auch der "offizielle" Workaround von IBM selbst zu sein: https://www-01.ibm.com/support/docview.wss?uid=swg21570039

Ich teste gerade den Parameter "RouterFallbackNonTLS=1". Der scheint offenbar zu funktionieren und mich jetzt zu retten. Diverse TLS-Verbindungen funktionieren nicht, aber wenn ich das gerade richtig sehe, gehen diese Mails jetzt trotzdem raus (im zweiten Versuch & ohne TLS). Ich hoffe mal, das gilt dann auch für alle Fehler, die so auftreten können. Bisher habe ich "SSL handshake error: 1C7Ah" (ich vermute mal nicht supportete Cipher) und "SSL Connection Policy error: 3AFEh" (SSL Certificate is Invalid) bekommen.

[hallo.dirk]

Ja ausgehend habe ich das auch so (mit dem ausgeschalteten TLS Fallback)

Allerdings ist das nicht, was andere (Exchange) unter Erzwungenem TLS verstehen.
Hier geht es ja darum, dass wenn dir die Gegenseite kein TLS anbietet die Mail nicht übertragen wird.

Domino würde dass hier eben unverschlüsselt machen....

[SD]

Da kann ich in unserem Fall damit leben. Das Problem wurde hier ja dadurch verursacht, dass die Empfängerseite TLS anbietet und uns als Absender dazu zwingt, dies auch zu nutzen.

Wir haben hier vier Szenarien vorliegen:

1) Empfängersystem akzeptiert nur TLS-Verbindungen (eingehend)
-> Wenn wir TLS (ausgehend) aus haben, lehnt der Empfänger alle unsere Verbindungen ab

2) Empfängersystem bietet keine TLS-Verschlüsselung an (eingehend)
-> StartTLS merkt das und schickt eben unverschlüsselt

3) Der Empfänger bietet TLS optional an (eingehend)
-> Wenn wir StartTLS an haben (ausgehend), geht es verschlüsselt raus, wenn nicht, dann eben nicht

4) Empfängersystem bietet TLS an (eingehend), es ist aber so kaputt, dass die Verbindung abbricht
-> Wenn wir StartTLS aktivieren, brechen alle Verbindungen zu diesen Empfängern ab


Mit StartTLS können wir also keine Verbindungen mehr zu 4) aufbauen, ohne StartTLS können wir keine Verbindungen mehr zu 1) aufbauen. Durch diesen Fallback-Parameter können wir es aber jetzt doch einschalten, da der Fall 4) dadurch ungefähr so abläuft, wie der Fall 2). Unverschlüsselte Verbindungen (ausgehend) wird es sowieso immer geben.

[Bastel123]

Zu Punkt:

4) Empfängersystem bietet TLS an (eingehend), es ist aber so kaputt, dass die Verbindung abbricht
-> Wenn wir StartTLS aktivieren, brechen alle Verbindungen zu diesen Empfängern ab

Ist der Gegenseite bewusst, dass ihr System "kaputt" ist? Hast Du mal mit denen geredet? Oft ist es so, dass die gar nicht wissen, dass bei ihnen was falsch läuft. Die meisten Admins sind dann froh, wenn sie konkrete Hinweise bekommen (nicht: mit euch klappt das nicht, sondern Logs aus dem Mailgateway mit Zeitstempel und Fehler...).
Wenn die aber beratungsresistent sind sollte man seinen Chef informieren und den Mailverkehr mit denen einstellen. Man muss nicht alle Fehler der Welt auf seiner Seite beheben.

Gruß
Sebastian 

[SD]

Ich gehe mal davon aus, dass denen das nicht bewusst ist. Allerdings hatte ich nach wenigen Minuten bereits 5 verschiedene Empfänger-Hosts in den Logs, mit 3 verschiedenen Fehlermeldungen. Inzwischen sind es deutlich mehr, als ich auf die schnelle zählen kann. Wenn mir mal irgendwann sehr, sehr langweilig ist, mache ich es mir vielleicht zur Lebensaufgabe alle TLS-Configs dieser Welt zum flutschen zu bringen, aber ich fürchte heute ist nicht dieser Tag.