Hallo zusammen,
ich habe da ein Problem mit abgehenden Mails zu einer bestimmten Domäne, die Mails werden dort mit einem "ssl_choose_client_version:unsupported protocol" abgelehnt.
Unser Exchange 2019 (CU13, Juni SU) sendet die Mails über eine Sophos XG als Smarthost, das funktioniert auch grundsätzlich. Nur bei einer Gegenstelle (aber da auf allen Mailadressen) kommt halt die o.s. Meldung zurück. Laut Header schickt der Exchange (oder die Sophos, da bin ich mir nicht sicher ob die abgehend nur durchreicht) mit "(TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", was ja aktuell sein sollte. Zumindest meckert der HealthChecker von MS nicht. Die IT des Empfängers meint nun, das wäre ein Problem auf unserer Seite. Ich verstehe aber nicht, wie die darauf kommen.
Das einzige was mir einfallen würde ist, dass wir auf der Sophos in den SMTP Settings die Option "Disable Legacy Protocols" aktiviert haben, das schaltet laut Doku TLS<=1.1 ab, aber das soll wie ich es verstanden habe für ankommend gelten, nicht für abgehend.
Seht ihr das so wie ich, dass das ein Problem auf Empfänger Seite ist, oder kann das wirklich an uns liegen?
Für Denkanstöße oder auch Bestätigung wäre ich dankbar.
Gruß
Daniel
Wenn der exchange an die Sophos xg als Smarthost schickt ist er raus aus dem problem. Also bleibt nur rauszufinden welche ciphers die Sophos kann und welche auf der Gegenseite angeboten werden. Das solltest du rausfinden, dann kannst du genau sagen wer zu wenige anbietet. Aber am Ende ist es so oder so die Frage, ob du dann die notwendige cipher aktivierst oder der Empfänger. ;)
Hallo Norbert,
danke für deine Antwort und die Erklärung. Ich habe mich etwas missverständlich ausgedrückt, der Cipher, den ich oben angegeben habe, ist der, der auf der anderen Seite ankommt (Die haben mir einen Screenshot mit dem Header geschickt, wo das zu sehen ist, sind aber nicht auf Details eingegangen). Ich war mir nur nicht sicher, ob der von der Sophos kommt oder ob die den vom Exchange durchreicht.
In der Sophos XG kann man die Cipher nicht einstellen, die Optionen sind da (mal wieder) sehr begrenzt und in der Doku steht es nicht. Das einzige, was ich halt noch einstellen kann ist halt "Legacy Protocols" aktivieren oder deaktivieren, was aber bedeuten würde alte TLS Versionen <=1.1 zu erlauben.
Aber dann habe ich den Fehler richtig interpretiert, die Gegenseite akzeptiert nicht die TLS Version oder den cipher, den wir verwenden und lehnt deshalb die Mail bzw. die Verbindung ab. Da wir bisher mit keiner anderen Gegenseite das Problem haben würde ich das also so sehen, dass die mit veralteten Protokollen arbeiten bzw. wir im Zweifel "zu streng" sind.
Mal schauen, was da raus kommt.
(Die haben mir einen Screenshot mit dem Header geschickt, wo das zu sehen ist, sind aber nicht auf Details eingegangen).
Aber wenn die dir den Header geschickt haben, dann ist die Mail doch schon durch oder meinst du, die haben die Teile des TLS Handshakes geschickt? Sonst könnten die dir doch keinen Header schicken. Oder hab ich was falsch verstanden? So oder so, teste es doch. Aktiviere die legacy protokolle testweise wieder, kannst du ja nach einer Testmail wieder abschalten.
Ansonsten wie gesagt, hol dir bspw. per nmap (oder https://github.com/drwetter/testssl.sh/blob/3.2/testssl.sh) mal die ssl ciphers der Gegenseite und vergleich mit denen die deine Sophos für Clientkommunikation nutzt.
Bye
Norbert
Aber wenn die dir den Header geschickt haben, dann ist die Mail doch schon durch oder meinst du, die haben die Teile des TLS Handshakes geschickt?
Unglücklich formuliert von mir, der Screenshot, den ich bekommen habe sieht eher nach Firewall od. Mailgateway aus und da werden Absender-IP, Absender Server und TLS+cipher. Für mich ist die Kommunikation mit der anderen Seite leider etwas schwierig, da ich keinen direkten Kontakt habe und das Ganze immer über einen "Nicht-IT" Mittelsmann geht. Das erschwert mir etwas die Fehlersuche.
Das mit nmap ist ein guter Tipp, werde ich mir mal ansehen. Der Github Link führt leider ins Leere.
Danke erst mal.
Hi Norbert,
der Tipp mit nmap war Gold wert. Die Gegenseite spricht tatsächlich nur SSLv3 und TLS1.0. Logisch, dass wir da vor die Wand laufen, wenn ich alles außer TLS1.2 in der Sophos deaktiviere.
Du hast mir wie immer sehr geholfen, danke dafür.
Gruß
Daniel
Am besten du schickst diesen "Hinterwäldlern" dann gleich mal den NMAP report. Alternativ hab ich mir grad mal testssl.sh angeschaut. Da wärs sogar schön bunt. ;)