Re: debian bullseye, exim4 und TLS
On Sat, 18 Dec 2021 12:19:18 +0100, Lars Schimmer
<l.schimmer@cgv.tugraz.at> wrote:
>Wie kann ich das TLS on Connect auf Port 465 (oder 587, oder oder) zum
>funktionieren bekommen, wie kann ich mein Problem gut debuggen, lösen?
Auf Port 465 wird _direkt_ TLS gesprochen, auf Port 587 wird zuerst
unverschlüsselt EHLO gesagt und dann mit STARTTLS auf TLS gewechselt.
Das benötigt auf beiden Seiten unterschiedliche Konfiguration über die
Portnummer hinaus. Die Port-465-Variante wird von exim nur so la la
unterstützt, ich versuche sie zu meiden.
>Oder: reicht STARTTLS auf Port 465/587 nach draussen offen aus ?
Auf 465 ist STARTTLS falsch.
>Hötte schon gerne "tls on connect" aktiv auf den Ports, damit kein
>Plaintext funktioniert.
Es ist Stand der Technik, einfach vor STARTTLS kein SMTP AUTH
anzubieten, damit halbwegs korrekt implementierte Clients¹ nicht
versuchen, sich auf der unverschlüsselten Verbindung zu
authentifizieren. Ich gehe davon aus dass die exim-Pakete das auch so
umsetzen.
¹ es soll ja clients geben, die so kaputt sind, dass sie einfach
stumpf mit AUTH anfangen auch wenn der Server gar nicht angesagt hat
dass er AUTH kann, aber denen ist nicht zu helfen.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Reply to: