Unable to perform > STARTTLS

1. offizieller Beitrag
    • Offizieller Beitrag

    Nach dem Fix des Heartbleed-Bugs mehren sich Hinweise auf Inkompatibilitäten mit diversen Mailservern beim SSL-Handshake.
    Im Log findet sich zumeist der Hinweis "Unable to perform > STARTTLS".


    Ursächlich wurde hierfür die gepatchte, aktuellste OpenSSL version 1.0.1g ausgemacht.
    https://www.mail-archive.com/p…postfix.org/msg57455.html


    Hierfür gibt es folgende Lösungsansätze:


    a) Sofern nur wenige Domains betroffen sind, kann für diese Domain SSL temporär deaktiviert werden:


    Bitte navigieren Sie im Webadmin zu Security & Filtering ->
    Acceptance & Routing -> Advanced Settings


    - Klicken Sie auf 'Add Acceptance / Routing Rule'


    - Geben Sie einen Namen an


    - Im Bereich Conditions bitte zwei Stück anlegen


    Wählen Sie -> Recipient -> Domain -> und diese Bedingung hinzufügen -> Wählen Sie ''Is' aus der Combobox aus -> schreiben Sie betroffene-domain.tld in das Textfeld


    Wählen Sie -> Delivery -> Relaying mail -> hinzufügen


    - Zu Beginn des Bereichs 'Conditions' dort bitte wählen 'For incoming messages
    that match' -> 'ALL of the conditions below' (Anstatt Any im Standard)


    - Bei den Actions wählen Sie -> Allow StartTLS -> und fügen Sie es hinzu. Die Checkbox bei 'Allow StartTLS' darf nicht angehakt werden.


    - Bitte die Regel speichern.


    b) SSL komplett deaktivieren


    Hierzu müssen Sie die o.g. Regel anlegen, jedoch keine Einschränkung auf die Domain festlegen.


    c) SSL-Version festlegen


    Es besteht die Möglichkeit die Datei smtpFilters.script aus dem Verzeichnis Filters manuell zu ediieren und somit SSL3 zu erzwingen.
    Damit klappt auch SSL wieder regulär. Hierzu muss ins Event onRelay eine Methode eingefügt werden:


    event onRelay {


    ....
    call (force-ssl3);
    }



    ....



    method force-ssl3 {
    if (
    anyOf (
    greaterThan (mailSize, "-1")
    )
    ) {
    set (allowedSSLVersions, "ssl3");
    }
    }



    Der entscheidende Nachteil ist, dass diese editierte Datei nicht mehr vom Webadmin geparst und damit erkannt werden kann.
    Daher könnnen keine SMTP Acceptance / Routing Regeln vom Webadmin aus mehr hinzugefügt oder editiert werden.


    Der Hersteller arbeitet an einer Lösung für das nächste Release.


    Update: Mit AXIGEN 8.1.3 kann nun die SSL-Version auch über das Webadmin-Interface bei Bedarf gesetzt werden.


    Hallo,


    ich habe gerade das Update auf: 8.1.2.9 eingespielt.


    Diese neue Version hat das STARTTLS - Problem allerdings leider nicht behoben.
    Da sollte der Hersteller ev. nochmal nachbessern.


    Habe stattdessen die Änderungen unter c) durchgeführt.
    => funktioniert :)


    Vielen Dank für Ihre Anleitung.