<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /></head><body style='font-size: 10pt; font-family: Verdana,Geneva,sans-serif'>
<p id="reply-intro">On 2024-09-24 07:43, Frank Kirschner via Postfixbuch-users wrote:</p>
<blockquote type="cite" style="padding: 0 0.4em; border-left: #1010ff 2px solid; margin: 0">
<div id="replybody1">
<div>
<p><span style="font-family: Helvetica, Arial, sans-serif; font-size: small;">Hallo zusammen,</span></p>
<p><span style="font-family: Helvetica, Arial, sans-serif; font-size: small;">Ich kann von einer großen Versicherung keine Emails empfangen (Postfix 2.10.1):</span></p>
<p><span style="font-family: Helvetica, Arial, sans-serif; font-size: small;">Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: warning: TLS library problem: 2767072:error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher:s3_srvr.c:1435:<br />Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: lost connection after STARTTLS from mail1.gothaer.de[194.126.228.24]<br />Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: disconnect from mail1.gothaer.de[194.126.228.24]</span></p>
<p><span style="font-family: Helvetica, Arial, sans-serif; font-size: small;">Der Grund hierfür ist, dass meine SSL Konfig so aussieht:</span></p>
<p><span style="font-family: Helvetica, Arial, sans-serif; font-size: small;">smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1<br />smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1<br />smtpd_tls_mandatory_ciphers = medium</span></p>
<p><span style="font-family: Helvetica, Arial, sans-serif; font-size: small;">Ich interpretiere das Problem daher, dass der sendende MTA SSLv3 verwendet, welches ich ja nicht erlaube.<br />OpenSSL ist wie folgt compiliert:</span></p>
<p><span style="font-family: Helvetica, Arial, sans-serif; font-size: small;">[op1@farm11]# openssl ciphers -v | awk '{print $2}' | sort | uniq<br />SSLv3<br />TLSv1.2</span></p>
<p><span style="font-family: Helvetica, Arial, sans-serif; font-size: small;">Gibt es eine Möglichkeit nur für diesen sendenden Host SSLv3 zu erlauben? <br />Er scheint auch kein Fallback auf unverschlüsselt konfiguriert zu haben, da ich </span><span style="font-family: Helvetica, Arial, sans-serif; font-size: small;">smtpd_tls_mandatory_ciphers = medium eingestellt habe und somit die Chance dazu wäre.</span></p>
<p><span style="font-family: Helvetica, Arial, sans-serif; font-size: small;">Oder bin ich auf einem komplett falschen Weg?</span></p>
<p><span style="font-family: Helvetica, Arial, sans-serif; font-size: small;">lg Frank<br /></span></p>
</div>
</div>
</blockquote>
<p><br /></p>
<p>Denke, das liegt an dem "<span style="font-family: Helvetica, Arial, sans-serif; font-size: small;">no shared cipher". </span></p>
<p><span style="font-family: Helvetica, Arial, sans-serif; font-size: small;">Hier kommt mail1.gothaer.de an mit TLSv1.2 mit Cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)</span></p>
<p><span style="font-family: Helvetica, Arial, sans-serif; font-size: small;">Gruß,</span></p>
<p><span style="font-family: Helvetica, Arial, sans-serif; font-size: small;">Gunther</span></p>
<div id="signature">
<div class="pre" style="margin: 0; padding: 0; font-family: monospace"><span class="sig">-- <br /></span></div>
</div>
</body></html>