TLS restrictions - Versand - Weiterleitung

Locked
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

TLS restrictions - Versand - Weiterleitung

Post by Ralph »

Mir ist bewusst das die TLS Protokolle unter 1.2 veraltet und für die Tonne sind, ich sehe aber derzeit noch sehr viele:
(Cannot start TLS: handshake failure)
also wo beim Empfänger Server die v 1.0 und 1.1 nicht explizit deaktiert sind, diese abertrotzdem v 1.2 unterstützen, dort tritt dann eine Verzögerung 5-10 Minuten auf bis das ausgehandelt wurde ...
Kann man NUR beim Versand da etwas machen um z.b die Auslieferung zu beschleunigen oder müsste man dann Postfix die alten TLS erlauben?
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: TLS restrictions - Versand - Weiterleitung

Post by Ralph »

in der master.cf:
-o smtpd_tls_security_level=encrypt
zu
-o smtpd_tls_security_level=may

ich habe das mal vorhin getestet wie hier beschrieben:
https://support.plesk.com/hc/en-us/arti ... and-higher

smtpd_enforce_tls=yes bleibt ja unverändert
kann man das so machen?

### edit ###
bin wieder zurück auf:
smtpd_tls_security_level=encrypt
und
smtpd_enforce_tls=no

ändert beides nichts, an der Verzögerung
Cannot start TLS: handshake failure
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: TLS restrictions - Versand - Weiterleitung

Post by Ralph »

also wie gesagt es geht um Verbindungen zu Mailservern die TLS v.1.2 unterstützen, jedoch haben diese noch veraltete cyphers und TLS 1.0 & 1.1 nicht explizit deaktiviert. Es geht nur darum die Zeitspanne zum aushandeln der Verbindung zu veringern ...
wäre das denn damit möglich?
tls_preempt_cipherlist = no
auf
tls_preempt_cipherlist = yes
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: TLS restrictions - Versand - Weiterleitung

Post by Florian »

Hallo,

tls_preempt_cipherlist = yes kann helfen. Muss man testen.
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: TLS restrictions - Versand - Weiterleitung

Post by Ralph »

Florian wrote: Tue 27. Jul 2021, 11:43 Hallo,

tls_preempt_cipherlist = yes kann helfen. Muss man testen.
Danke, ich denke diese Einstellung ist vollkommen richtig so, also auf yes ... da kommen aber dann auch prompt die alten Microsoft Spamschleudern wo es dann wieder hängt :mrgreen:
ich denke mal ich lasse es jetzt mal so und mache mir keinen Kopf mehr darüber, hab vorhin mal einen davon getestet auf
https://www.immuniweb.com/ssl/
Image

ist halt so, das Problem kann nur der Betreiber selbst lösen
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: TLS restrictions - Versand - Weiterleitung

Post by Ralph »

habe es doch noch etwas beschleunigen können:

Code: Select all

tls_preempt_cipherlist = yes
smtpd_error_sleep_time = 1s
Locked