Mailrelay und Zertifikate von anderen Mailservern

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
unibeta
Beiträge: 19
Registriert: Do 10.07.2014, 22:02

Mailrelay und Zertifikate von anderen Mailservern

Beitrag von unibeta »

Guten Morgen,

wir haben gelegentlich Absender deren Mails uns nicht erreichen und ich würde gerne wissen wie die UTM die Zertifikate der Mailserver eingehender Mails
auswertet.

Werden Mails von Absender mit abgelaufenen oder gar selbstsiginierten Zertifikaten verworfen?

Aktuell wurde eine Mail mit PDF-Anhang abgelehnt:

[table][tr][td][/td]
[td]milter_sp[/td]
[td]SRC_HOST=iron01.*****hofer.de[/td]
[/tr]
[tr][td]31.05.2017 10:06:40[/td]
[td]sm-mta[/td]
[td]STARTTLS=server,error: acceptfailed=-1,reason=unknownprotocol,SSL_error=1,errno=0,retry=-1,relay=iron01.*****hofer.de[***.96.1.54][/td]
[/tr]
[tr][td]31.05.2017 10:06:40[/td]
[td]sm-mta[/td]
[td]v4V86cMf014540: iron01.*****hofer.de [***.96.1.54] did not issue MAIL/EXPN/VRFY/ETRN during connection to IPv6[/td]
[/tr]
[/table]

Die Prüfung des Absender-Server ergibt ein abgelaufenes Zertifikat einer öffentlichen Zertifizierungsstelle.

Liegt die Ablehnung hier am Zertifikat oder hat es andere Gründe?

Gruß

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

bei eingehenden E-Mails ist das Zertifikat der Mailserver gegenüber irrelevant. Der Remote Mailserver wird aber höchstwahrscheinlich das Zertifikat des Mail Relays überprüfen.
Es könnte auch sein dass sich der Remote Mailserver und die UTM nicht auf einen gemeinsamen Nenner kommen.

Wurde an der Maschine manuell die Verschlüsselungen angepasst? (Authentifizierung -> Verschlüsselung -> Global/SMTPD)

Gruß

unibeta
Beiträge: 19
Registriert: Do 10.07.2014, 22:02

Beitrag von unibeta »

Danke für die Rückmeldung.

Nein, diese Einstellungen sind default.

Im Global Tab steht:
Standardwerte überschreiben "angehakt"

SSL v3: Nein
TLS 1.0: Nein
TLS 1.1: Ja
TLS 1.2: Ja
DH Key Size: 1024
Cipher-Suite: Standardwert des Dienstes verwenden

Gruß

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

haben Sie schon mal einen test bei ssllabs gemacht? (Sowohl für die Empfänger als auch Absender Domain)
Eventuell lässt sich dann eher die Ursache feststellen

Gruß

unibeta
Beiträge: 19
Registriert: Do 10.07.2014, 22:02

Beitrag von unibeta »

Habe mal TLS 1.0 wieder aktiviert und prommt kam die erste kürzlich vermisste Mail und später auch die andere zuvor abgelehnte.

Offenbar sind immer noch einige Mailserver unterwegs die nicht ohne TLS 1.0 zurecht kommen....... :-(

Somit closed, danke und gruß :-)

Antworten