Win7 / O2010 / Email TLS-Problem

christian.john · Post by **christian.john** » Thu 27. Aug 2020, 07:55

Hallo zusammen,

ich habe am Montag ein Update von Keyhelp 20.0 auf 20.1 und anschließend auf 20.2 gemacht. (Debian 10)

Seitdem hat ein Kunde von mir Probleme Emails abzurufen.
Er hat (leider noch) Windows 7 mit Outlook 2010 im Einsatz und ruft die Emails per POP3 ab.
(Hinweise, auf die Versionen sind nicht notwendig

)

In den Logs erhalte ich folgende Meldung im Postfix erhalte ich:
TLS handshaking: SSL_accept() failed: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol

Ich habe mich auch schon im Forum versucht schlau zu machen:
viewtopic.php?f=5&t=9525
viewtopic.php?f=6&t=8445
viewtopic.php?f=6&t=9916

Ich bin aber noch nicht ganz fündig geworden.

Ich wollte jetzt versuche in den Einstellungen - Konfiguration - TLS-Version und Ciphers die Minimale TLS-Protokoll-Version herunterzusetzen. Was muss ich bei den TLS-Ciphers eintragen? Oder bin ich hier auf dem ganz falschen weg?

Christian

Post by **Jolinar** » Thu 27. Aug 2020, 08:28

christian.john wrote: ↑Thu 27. Aug 2020, 07:55 Hinweise, auf die Versionen sind nicht notwendig

Sorry, aber im Kontext des Folgenden wirst du das aushalten müssen, besonders unter dem Aspekt, daß du sagst, daß du Kunden auf deinem Server hast...

christian.john wrote: ↑Thu 27. Aug 2020, 07:55 Ich wollte jetzt versuche in den Einstellungen - Konfiguration - TLS-Version und Ciphers die Minimale TLS-Protokoll-Version herunterzusetzen.

Du willst also ernsthaft die Sicherheit deines Servers vorsätzlich abschwächen und damit deine anderen Kunden einer potentiellen Gefährdung aussetzen, nur weil einer deiner Kunden nicht begreifen will, daß man keine veraltete Software mehr einsetzen sollte...?

christian.john wrote: ↑Thu 27. Aug 2020, 07:55 Was muss ich bei den TLS-Ciphers eintragen? Oder bin ich hier auf dem ganz falschen weg?

Um deine eigentliche Frage aber trotzdem zu beantworten, schau mal hier -> https://wiki.mozilla.org/Security/Server_Side_TLS

christian.john · Post by **christian.john** » Thu 27. Aug 2020, 09:00

Hallo Jolinar,

danke für deinen Hinweis. Werde ich mir gleich mal anschauen.

PS: Mir ist die Sicherheitsthematik durchaus bewusst und ich habe den Kunden entsprechend auch informiert. Manchmal ist es leider so, dass gewisse konstellationen gegeben sind und man nichts ändern kann. Ich weiß es, stimmt mich selber nicht positiv, der Kunde kann es teilweise nicht ändern und so sind mir auch die Hände gebunden. Leider.

Christian

Post by **Alexander** » Thu 27. Aug 2020, 09:29

Nur fürs Protokoll, es besteht auch noch die Möglichkeit, Win7 für TLS 1.2 fit zu machen.

https://support.microsoft.com/de-de/hel ... cols-in-wi

Post by **Tobi** » Thu 27. Aug 2020, 09:41

Alternative Idee:

Wenn für den reibungslosen Betrieb deines Kunden die alte Win7 Möhre mit Software von vorgestern nötig ist, bitteschön.

Dann sollte er eben mal 119 EUR investieren https://www.itsco.de/pc-lenovo-thinkcen ... 25128.html und sich einen Zweit-PC für sicheres Surfen und Mailen zulegen.

Meiner Meinung nach ist ein Win7 PC eine tickende Zeitbombe im Netzwerk welche früher oder später hochgeht.
Und dazu muss dein Kunde noch nicht mal fahrlässig oder vorsätzlich handeln. Es gibt Botnetzerke welche sich über das Google Ad-Netzwerk verbreiten. Dabei reicht schon der Besuch einer seriösen Seite aus um den Rechner zu infizieren.

119 Eur sind ein Schnäppchen im Vergleich zu Ransomware Lösegeldern

christian.john · Post by **christian.john** » Thu 27. Aug 2020, 10:13

Danke für den konstruktiven Hinweis Alexander. Das habe ich bisher nicht sauber geschafft in meinem Test-System.

@Tobi: Ich bin mir nach wie vor der Gefahr bewusst nur leider ist es in der Industrie nicht immer möglich, mal eben etwas für 129 Euro auszutauschen. Der Kunde hat noch alte PCI-Karten, die über ein emuliertes DOS 3.11 angesprochen werden müssen. Soweit ich weiß läuft auf 2 PCs auch alles auf Win 10. Ich möchte euch aber höflich bitten, da die Problematik hinlänglich bekannt ist und ich keine Handhabe diesbezüglich habe, entsprechend nicht weiter darauf rumzureiten. Das hilft mir nicht und der Situation nicht. Danke!

Christian

Post by **Alexander** » Thu 27. Aug 2020, 10:17

Die Einträge in der Registry hast du auch gemacht?

1) Navigiere zu "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols"
Sofern die folgenden Schlüssel nicht vorhanden sind, müssen sie angelegt werden:
TLS 1.1
TLS 1.2

2) Füge zu den Schlüssel TLS 1.1 und TLS 1.2 einen weiteren Schlüssel namens Client hinzu.

3) Erstelle zu jedem Client-Schlüssel einen DWORD-Wert mit dem Namen DisabledByDefault, deren Wert 00000000 lautet.

Zusammenfassend müsste es dann so aussehen:

Für TLS 1.1

Code: Select all

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client DWORD-Name: DisabledByDefault DWORD-Wert: 0

Für TLS 1.2

Code: Select all

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client DWORD-Name: DisabledByDefault DWORD-Wert: 0

mrbird · Post by **mrbird** » Thu 27. Aug 2020, 10:53

Ich hab zwar keine Kunden mehr, aber hatte ein ähnliches Problem mit meinen Cams. Da hab ich - um meine 2 Server nicht "downzugraden" mir einfach ne VPS dazugeholt wo nur die unsichererern Dinge laufen.
Hätte ich sicher auch so mit nem Kunden in der oben stehenden Konstellation gemacht. Nach dem Motto .. erst die Schuhe abputzen bevors du ins Haus kommst

Wollte nur diese Möglichkeit noch in die Runde werfen ...

Win7 / O2010 / Email TLS-Problem

Win7 / O2010 / Email TLS-Problem

Re: Win7 / O2010 / Email TLS-Problem

Re: Win7 / O2010 / Email TLS-Problem

Re: Win7 / O2010 / Email TLS-Problem

Re: Win7 / O2010 / Email TLS-Problem

Re: Win7 / O2010 / Email TLS-Problem

Re: Win7 / O2010 / Email TLS-Problem

Re: Win7 / O2010 / Email TLS-Problem