
<!DOCTYPE html>

<html>

  <head>


    <meta http-equiv="content-type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <p><font size="2" face="Helvetica, Arial, sans-serif">Hallo

        zusammen,</font></p>

    <p><font size="2" face="Helvetica, Arial, sans-serif">Ich kann von

        einer großen Versicherung keine Emails empfangen (Postfix

        2.10.1):</font></p>

    <p><font size="2" face="Helvetica, Arial, sans-serif">Sep 24

        06:17:52 farm11 postfix/smtpd[2767072]: warning: TLS library

        problem: 2767072:error:1408A0C1:SSL

        routines:ssl3_get_client_hello:no shared cipher:s3_srvr.c:1435:<br>

        Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: lost connection

        after STARTTLS from mail1.gothaer.de[194.126.228.24]<br>

        Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: disconnect from

        mail1.gothaer.de[194.126.228.24]</font></p>

    <p><font size="2" face="Helvetica, Arial, sans-serif">Der Grund

        hierfür ist, dass meine SSL Konfig so aussieht:</font></p>

    <p><font size="2" face="Helvetica, Arial, sans-serif">smtpd_tls_mandatory_protocols

        = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1<br>

        smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1<br>

        smtpd_tls_mandatory_ciphers = medium</font></p>

    <p><font size="2" face="Helvetica, Arial, sans-serif">Ich

        interpretiere das Problem daher, dass der sendende MTA SSLv3

        verwendet, welches ich ja nicht erlaube.<br>

        OpenSSL ist wie folgt compiliert:</font></p>

    <p><font size="2" face="Helvetica, Arial, sans-serif">[op1@farm11]#

        openssl ciphers -v | awk '{print $2}' | sort | uniq<br>

        SSLv3<br>

        TLSv1.2</font></p>

    <p><font size="2" face="Helvetica, Arial, sans-serif">Gibt es eine

        Möglichkeit nur für diesen sendenden Host SSLv3 zu erlauben? <br>

        Er scheint auch kein Fallback auf unverschlüsselt konfiguriert

        zu haben, da ich </font><font size="2"

        face="Helvetica, Arial, sans-serif">smtpd_tls_mandatory_ciphers

        = medium eingestellt habe und somit die Chance dazu wäre.</font></p>

    <p><font size="2" face="Helvetica, Arial, sans-serif">Oder bin ich

        auf einem komplett falschen Weg?</font></p>

    <p><font size="2" face="Helvetica, Arial, sans-serif">lg Frank<br>

      </font></p>

  </body>

</html>