Page 1 of 1
Win7 / O2010 / Email TLS-Problem
Posted: Thu 27. Aug 2020, 07:55
by christian.john
Hallo zusammen,
ich habe am Montag ein Update von Keyhelp 20.0 auf 20.1 und anschließend auf 20.2 gemacht. (Debian 10)
Seitdem hat ein Kunde von mir Probleme Emails abzurufen.
Er hat (leider noch) Windows 7 mit Outlook 2010 im Einsatz und ruft die Emails per POP3 ab.
(Hinweise, auf die Versionen sind nicht notwendig
)
In den Logs erhalte ich folgende Meldung im Postfix erhalte ich:
TLS handshaking: SSL_accept() failed: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol
Ich habe mich auch schon im Forum versucht schlau zu machen:
viewtopic.php?f=5&t=9525
viewtopic.php?f=6&t=8445
viewtopic.php?f=6&t=9916
Ich bin aber noch nicht ganz fündig geworden.
Ich wollte jetzt versuche in den Einstellungen - Konfiguration - TLS-Version und Ciphers die Minimale TLS-Protokoll-Version herunterzusetzen. Was muss ich bei den TLS-Ciphers eintragen? Oder bin ich hier auf dem ganz falschen weg?
Christian
Re: Win7 / O2010 / Email TLS-Problem
Posted: Thu 27. Aug 2020, 08:28
by Jolinar
christian.john wrote: ↑Thu 27. Aug 2020, 07:55
Hinweise, auf die Versionen sind nicht notwendig
Sorry, aber im Kontext des Folgenden wirst du das aushalten müssen, besonders unter dem Aspekt, daß du sagst, daß du
Kunden auf deinem Server hast...
christian.john wrote: ↑Thu 27. Aug 2020, 07:55
Ich wollte jetzt versuche in den Einstellungen - Konfiguration - TLS-Version und Ciphers die Minimale TLS-Protokoll-Version herunterzusetzen.
Du willst also ernsthaft die Sicherheit deines Servers vorsätzlich abschwächen und damit deine anderen Kunden einer potentiellen Gefährdung aussetzen, nur weil einer deiner Kunden nicht begreifen will, daß man keine veraltete Software mehr einsetzen sollte...?
christian.john wrote: ↑Thu 27. Aug 2020, 07:55
Was muss ich bei den TLS-Ciphers eintragen? Oder bin ich hier auf dem ganz falschen weg?
Um deine eigentliche Frage aber trotzdem zu beantworten, schau mal hier ->
https://wiki.mozilla.org/Security/Server_Side_TLS
Re: Win7 / O2010 / Email TLS-Problem
Posted: Thu 27. Aug 2020, 09:00
by christian.john
Hallo Jolinar,
danke für deinen Hinweis. Werde ich mir gleich mal anschauen.
PS: Mir ist die Sicherheitsthematik durchaus bewusst und ich habe den Kunden entsprechend auch informiert. Manchmal ist es leider so, dass gewisse konstellationen gegeben sind und man nichts ändern kann. Ich weiß es, stimmt mich selber nicht positiv, der Kunde kann es teilweise nicht ändern und so sind mir auch die Hände gebunden. Leider.
Christian
Re: Win7 / O2010 / Email TLS-Problem
Posted: Thu 27. Aug 2020, 09:29
by Alexander
Nur fürs Protokoll, es besteht auch noch die Möglichkeit, Win7 für TLS 1.2 fit zu machen.
https://support.microsoft.com/de-de/hel ... cols-in-wi
Re: Win7 / O2010 / Email TLS-Problem
Posted: Thu 27. Aug 2020, 09:41
by Tobi
Alternative Idee:
Wenn für den reibungslosen Betrieb deines Kunden die alte Win7 Möhre mit Software von vorgestern nötig ist, bitteschön.
Dann sollte er eben mal 119 EUR investieren
https://www.itsco.de/pc-lenovo-thinkcen ... 25128.html und sich einen Zweit-PC für sicheres Surfen und Mailen zulegen.
Meiner Meinung nach ist ein Win7 PC eine tickende Zeitbombe im Netzwerk welche früher oder später hochgeht.
Und dazu muss dein Kunde noch nicht mal fahrlässig oder vorsätzlich handeln. Es gibt Botnetzerke welche sich über das Google Ad-Netzwerk verbreiten. Dabei reicht schon der Besuch einer seriösen Seite aus um den Rechner zu infizieren.
119 Eur sind ein Schnäppchen im Vergleich zu Ransomware Lösegeldern
Re: Win7 / O2010 / Email TLS-Problem
Posted: Thu 27. Aug 2020, 10:13
by christian.john
Danke für den konstruktiven Hinweis Alexander. Das habe ich bisher nicht sauber geschafft in meinem Test-System.
@Tobi: Ich bin mir nach wie vor der Gefahr bewusst nur leider ist es in der Industrie nicht immer möglich, mal eben etwas für 129 Euro auszutauschen. Der Kunde hat noch alte PCI-Karten, die über ein emuliertes DOS 3.11 angesprochen werden müssen. Soweit ich weiß läuft auf 2 PCs auch alles auf Win 10. Ich möchte euch aber höflich bitten, da die Problematik hinlänglich bekannt ist und ich keine Handhabe diesbezüglich habe, entsprechend nicht weiter darauf rumzureiten. Das hilft mir nicht und der Situation nicht. Danke!
Christian
Re: Win7 / O2010 / Email TLS-Problem
Posted: Thu 27. Aug 2020, 10:17
by Alexander
Die Einträge in der Registry hast du auch gemacht?
1) Navigiere zu "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols"
Sofern die folgenden Schlüssel nicht vorhanden sind, müssen sie angelegt werden:
TLS 1.1
TLS 1.2
2) Füge zu den Schlüssel TLS 1.1 und TLS 1.2 einen weiteren Schlüssel namens Client hinzu.
3) Erstelle zu jedem Client-Schlüssel einen DWORD-Wert mit dem Namen DisabledByDefault, deren Wert 00000000 lautet.
Zusammenfassend müsste es dann so aussehen:
Für TLS 1.1
Code: Select all
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client DWORD-Name: DisabledByDefault DWORD-Wert: 0
Für TLS 1.2
Code: Select all
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client DWORD-Name: DisabledByDefault DWORD-Wert: 0
Re: Win7 / O2010 / Email TLS-Problem
Posted: Thu 27. Aug 2020, 10:53
by mrbird
Ich hab zwar keine Kunden mehr, aber hatte ein ähnliches Problem mit meinen Cams. Da hab ich - um meine 2 Server nicht "downzugraden" mir einfach ne VPS dazugeholt wo nur die unsichererern Dinge laufen.
Hätte ich sicher auch so mit nem Kunden in der oben stehenden Konstellation gemacht. Nach dem Motto .. erst die Schuhe abputzen bevors du ins Haus kommst
Wollte nur diese Möglichkeit noch in die Runde werfen ...
