Verwiesen an Support TLS1.2 oder höher für JTL-POS E-Mail-Versand gewünscht.

[Kompromittiert]

Hallo,

ich musste heute feststellen, dass die JTL-POS ausschließlich für den Verbindungsaufbau im E-Mail-Verkehr TLS1.0 (inkl. PFS) anbietet. Hier wäre es wünschenswert, dass die POS TLS1.2 (inkl. PFS) zumindest anbietet oder natürlich noch besser von Haus aus versucht zu sprechen. Da für TLS1.3 das entsprechende RFC zur Standarisierung erst im August 2018 veröffentlicht wurde und 2 1/2 Jahre in der IT quasi noch "in Kinderschuhen" bedeutet, wäre das cool aber das möchte ich nicht offiziell als Wunsch äußern .

Gruß
Kompromittiert.

 

[Janusch]

hallo,
läuft der SMTP über Port 465? Wir müssen die Option extra setzen und für Port 465 wird "mail.smtp.ssl.protocols", "TLSv1.2" genutzt.

 

[Kompromittiert]

Hallo,
der Mailserver bietet SMTP fürs relayen über Port 25 an (Server zu Server) und für Clients die Authentifizierung (mit STARTTLS) auf Submission (Port 587) an. Heißt also, dass die JTl-POS mit der 587 konfiguriert wurde. SMTP over SSL wird überhaupt nicht angeboten vom Mailserver, daher ist 465 auch nicht im Einsatz.

Gruß
Kompromittiert

 

[Janusch]

Hallo,
wir versuchen das zu erzwingen. Besser TLS 1.0 auf dem Server deaktivieren, so wird autom. 1.2 genutzt.

 

[Kompromittiert]

Hallo Janusch,

das ist leider ein Trugschluss, der Mailserver hat vorher kein TLS 1.0/TLS1.1 mehr gesprochen, daher ist das Ganze erst aufgefallen. Ich habe zum Testen einmal den Client die Verschlüsselung auswählen lassen und im zweiten Versuch über den Server die TLS Version bestimmen lassen, beide male konnte im Log nachvollzogen werden, dass die POS sich lediglich mit TLS1.0 meldet und andere TLS Version nicht angeboten hat bzw. selbstständig nicht versucht hat, eine höhere Version zu benutzen.

Vielleicht hilft Folgendes weiter:

Server zuvor konfiguriert:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_mandatory_ciphers = medium

smtpd_tls_dh1024_param_file = /etc/ssl/ffdhe2048.txt

tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
tls_preempt_cipherlist = no <--- Client entscheidet über Chiper-Suite-Einstellungen.

Konfiguration heruntergeschraubt um mit der POS sprechen zu können:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers = medium

smtpd_tls_dh1024_param_file = /etc/ssl/dh1024.txt

tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA
tls_preempt_cipherlist = yes <--- Server entscheidet über Chiper-Suite-Einstellungen.

 

[Wheelsports]

Wie ist hier der Stand, haben das gleiche Problem, können keine Emails versenden

 

[Shahne]

Hallo @Wheelsports ,

wir nutzen mittlerweile durchgängig TLS 1.2 in der JTL-POS. Das sollte eigentlich funktionieren für euch. Ansonsten mach dazu bitte gegebenenfalls ein Ticket auf, dann gucken wir uns das mal genauer an.

Mit freundlichen Grüßen,
Shahne