Wie kann ich das TLS on Connect auf Port 465 (oder 587, oder oder) zum >funktionieren bekommen, wie kann ich mein Problem gut debuggen, lösen?
Oder: reicht STARTTLS auf Port 465/587 nach draussen offen aus ?
Hötte schon gerne "tls on connect" aktiv auf den Ports, damit kein
Plaintext funktioniert.
Client ist default debian setup, kein Zertifikat, smarthost server 1 eingetragen.
Server ist public reachable, nur wenig Änderungen zur Standard Config, unter anderem Limits an Receipients, Size,...
Und für TLS wichtig: MAIN_TLS_ENABLE = true
Zertifikat habe ich ein wildcard von AlphaSSL und/oder ein mit dem debian exim cert gen (aus den Dokus) erstelltes probiert.
#Ports to listen on
daemon_smtp_ports = 25 : 465
tls_on_connect_ports = 465
Auf Port 25 kann der Client sich verbinden und sendet Mails ab.
Auf Port 465 kommt ein connect, dann ein Timeout " An unexpected TLS packet was received." am Server.
ICh weiß, das dieses Setup vor Jahren (pre-Buster) mal problemlos war, auch mit Thunderbird. Aber seitdem ned mehr genutzt, jetzt muss wieder.
Ein
swaks -a -tls -q AUTH -s localhost:465 -au USER
Wie kann ich das TLS on Connect auf Port 465 (oder 587, oder oder) zum funktionieren bekommen, wie kann ich mein Problem gut debuggen, lösen?
Oder: reicht STARTTLS auf Port 465/587 nach draussen offen aus ?
Hötte schon gerne "tls on connect" aktiv auf den Ports, damit kein Plaintext funktioniert.
Oder wo ist mein Denkfehler?
465 bzw 587 nutzen typischerweise TLS komplett (das heißt kein Upgrade der zunächst unverschlüsselten Verbindung auf TLS)
On Sat, 18 Dec 2021 18:05:21 +0100,
debian-mailing-lists@thomas.freit.ag wrote:
465 bzw 587 nutzen typischerweise TLS komplett (das heißt kein
Upgrade der zunächst unverschlüsselten Verbindung auf TLS)
Das ist für Port 587 nicht richtig.
On Sun, 19 Dec 2021 10:57:41 +0100
Marc Haber <mh+debian-user-german@zugschlus.de> wrote:
On Sat, 18 Dec 2021 18:05:21 +0100,
debian-mailing-lists@thomas.freit.ag wrote:
465 bzw 587 nutzen typischerweise TLS komplett (das heißt kein
Upgrade der zunächst unverschlüsselten Verbindung auf TLS)
Das ist für Port 587 nicht richtig.
genau,
was auch wichtig ist, weil ich clients habe die port 465 nicht ohne
starttls benutzen, fie benutzen port 587.
und andersrum haben clients probleme haben die korrekt fuer port 465 >konfiguriert sind und auf port 465 mit statttls treffen.
Hi Lars,
On 18.12.21 12:19, Lars Schimmer wrote:
Client ist default debian setup, kein Zertifikat, smarthost server 1 eingetragen.
Server ist public reachable, nur wenig Änderungen zur Standard Config, unter anderem Limits an Receipients, Size,...
Und für TLS wichtig: MAIN_TLS_ENABLE = true
Zertifikat habe ich ein wildcard von AlphaSSL und/oder ein mit dem debian exim cert gen (aus den Dokus) erstelltes probiert.
#Ports to listen on
daemon_smtp_ports = 25 : 465
tls_on_connect_ports = 465
Damit sollte der Exim-Client mMn. über Port 25 seine Mails am Smarthost abgeben, typischerweise mit opportunistic TLS, also
verschlüsselt wenn es passt (es sei denn Du erzwingst TLS per "tls_try_verify_hosts" (oder entsprechendem Macro).
Willst Du nur TLS testen geht auch openssl s_client --connect localhost:465 (oder mit korrektem Hostnamen, dass das Zertifikat auch validiert werden kann.
465 bzw 587 nutzen typischerweise TLS komplett (das heißt kein Upgrade der zunächst unverschlüsselten Verbindung auf TLS), das vermeidet Probleme mit
STARTTLS (siehe zB. https://www.feistyduck.com/bulletproof-tls-newsletter/issue_80_vulnerabilities_show_fragility_of_starttls).
Sysop: | Keyop |
---|---|
Location: | Huddersfield, West Yorkshire, UK |
Users: | 293 |
Nodes: | 16 (2 / 14) |
Uptime: | 219:48:32 |
Calls: | 6,622 |
Calls today: | 4 |
Files: | 12,171 |
Messages: | 5,317,875 |