TLS restrictions - Versand - Weiterleitung

[Ralph]

Mir ist bewusst das die TLS Protokolle unter 1.2 veraltet und für die Tonne sind, ich sehe aber derzeit noch sehr viele:
(Cannot start TLS: handshake failure)
also wo beim Empfänger Server die v 1.0 und 1.1 nicht explizit deaktiert sind, diese abertrotzdem v 1.2 unterstützen, dort tritt dann eine Verzögerung 5-10 Minuten auf bis das ausgehandelt wurde ...
Kann man NUR beim Versand da etwas machen um z.b die Auslieferung zu beschleunigen oder müsste man dann Postfix die alten TLS erlauben?

[Ralph]

in der master.cf:
-o smtpd_tls_security_level=encrypt
zu
-o smtpd_tls_security_level=may

ich habe das mal vorhin getestet wie hier beschrieben:
https://support.plesk.com/hc/en-us/arti ... and-higher

smtpd_enforce_tls=yes bleibt ja unverändert
kann man das so machen?

### edit ###
bin wieder zurück auf:
smtpd_tls_security_level=encrypt
und
smtpd_enforce_tls=no

ändert beides nichts, an der Verzögerung
Cannot start TLS: handshake failure

[Ralph]

also wie gesagt es geht um Verbindungen zu Mailservern die TLS v.1.2 unterstützen, jedoch haben diese noch veraltete cyphers und TLS 1.0 & 1.1 nicht explizit deaktiviert. Es geht nur darum die Zeitspanne zum aushandeln der Verbindung zu veringern ...
wäre das denn damit möglich?
tls_preempt_cipherlist = no
auf
tls_preempt_cipherlist = yes

[Florian]

Hallo,

tls_preempt_cipherlist = yes kann helfen. Muss man testen.

[Ralph]

Hallo,

tls_preempt_cipherlist = yes kann helfen. Muss man testen.

Danke, ich denke diese Einstellung ist vollkommen richtig so, also auf yes ... da kommen aber dann auch prompt die alten Microsoft Spamschleudern wo es dann wieder hängt
ich denke mal ich lasse es jetzt mal so und mache mir keinen Kopf mehr darüber, hab vorhin mal einen davon getestet auf
https://www.immuniweb.com/ssl/


ist halt so, das Problem kann nur der Betreiber selbst lösen

[Ralph]

habe es doch noch etwas beschleunigen können:

Code: Select all

tls_preempt_cipherlist = yes
smtpd_error_sleep_time = 1s