Postfix und Exchange: ssl3_get_record:wrong version

Deutsch (German) Anwendungen
1

Hallo,

ich habe ein System von Centos7 auf LEAP 15.3 migriert und die Postfix Konfiguration macht Probleme.

Postfix soll sich mit unserem Exchange verbinden per smtps auf Port 465 und Starttls

Im Log bekomme ich die Meldung

Jan 11 09:24:41 xxx postfix/smtp[9841]: SSL_connect error to xxx.yyy.zzz.aaa[xxx.yyy.zzz.aaa]:465: -1
Jan 11 09:24:41 xxx postfix/smtp[9841]: warning: TLS library problem: error:1408F10B:SSL routines:ssl3_get_record:wrong version number:ssl/record/ssl3_record.c:332:

Entsprechend dann beim Senden einer Mail “status=deferred (Cannot start TLS: handshake failure)”

in der Master.cf habe ich tlsmgr aktiviert (tlsmgr unix - - n 1000? 1 tlsmgr)

in der main.cf zudem

relayhost = xxx.yyy.zzz.aaa:465
smtp_tls_CApath = /etc/postfix/ssl/cacerts
smtp_tls_security_level = encrypt
smtp_tls_wrappermode = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_auth_enable = yes

Ein openssl s_client -connect xxx.yyy.zzz.aaa:465 -starttls smtp
funktioniert problemlos, connect per TLS1.2

---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 6156 bytes and written 475 bytes
Verification: OK
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES128-GCM-SHA256
    Session-ID: xxxx
    Session-ID-ctx:
    Master-Key: xxx
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1641892480
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: yes

Ich bin etwas ratlos. Auf Centos7 und Ubuntu 20 funktioniert diese Config problemlos. Vielleicht hat hier jemand eine Idee?

Danke & Grüße

2

Die Fehlermeldung deutet darauf hin, dass der Postfix für die Kommunikation mit dem Exchange das unsichere SSLv3 einsetzen will (CLIENT_HELLO).
Der Exchange-Server den Einsatz von SSLv3 korrekterweise aus Sicherheitsgründen ablehnt (negatives SERVER_HELLO).

Gewissheit erhält man erst, wenn der Datenverkehr zwischen Postfix und Exchange aufgezeichnet wird und mit Wireshark ausgewertet wird. Siehe dazu die Hinweise zu Wireshark unter:

https://community.upc.ch/d/8569-gigaconnect-aussetzer/25

https://community.upc.ch/d/6535-packet-loss/18

Relevant sind die Informationen im CLIENT_HELLO und im SERVER_HELLO der SSL/TLS-Kommunikation.
https://cppsecrets.com/users/236299104971151041051151049910497117104971109910464103109971051084699111109/OpenSSL-Client-Hello-and-Server-Hello.php

Generell sollten aus Sicherheitsgründen die Empfehlungen zur TLS-Kommunikation im BSI TR-02102-2 eingehalten werden:
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr02102/tr02102_node.html

3

Weiter ist der Exchange-Mailserver unsicher konfiguriert. Aus Sicherheitsgründen sollte der TCP Port 465 **OHNE **STARTTLS betrieben werden. Die Mailkommunikation über TCP Port 465 darf aus Sicherheitsgründen nur verschlüsselt per TLS (ohne STARTTLS) erfolgen! Siehe dazu:
https://de.wikipedia.org/wiki/SMTPS

https://www.lancom-forum.de/fragen-zur-lancom-systems-routern-und-gateways-f41/e-mail-benachrichtigung-geht-nicht-t17524.html#p99499

Also:

openssl s_client -CApath /etc/ssl/certs/ -connect posteo.de:465

Somit ist es korrekt, wenn Postfix den Mailverkehr über TCP Port 465 verschlüsselt (TLS) ohne STARTTLS abwickelt. Dies wird der Exchange-Mailserver nicht akzeptieren, da er STARTTLS erwartet, was korrekterweise zum Verbindungsabbruch führt…