Postfix, TLS auf Debian Lenny

[lukesky333]

Hallo Leute,

ich bin neu hier und habe auch gleich mal ein recht spezielles Problem. Ich hab hier in der Firma einige recht veraltete System "geerbt" und bin fleissig dabei, diese schnellstmöglich auf den neuesten Stand zu bringen bzw. gleich komplett zu ersetzen. Leider geht das nur nach und nach und ich muss gewisse "Alt-Lasten" derweil am Laufen halten. ...so auch unserer Mail-Server...

Unser aktuelles System schaut wie folgt aus:

• Debian (Lenny) 5.0.10
  Postfix 2.5.5
  OpenSSL 0.9.8g

Dass man sowas nicht laufen lassen kann - dessen bin ich mir bewusst. Dennoch muss das noch laufen, bis ich den neuen Server aufgebaut habe. Und da kommen wir auch gleich zum Problem:

Code: Alles auswählen

Sep  7 14:16:12 mail postfix/smtpd[24139]: cluster-b.mailcontrol.com[85.115.56.190]: certificate verification depth=0 verify=1 subject=/C=US/ST=CA/L=San Diego/O=Websense INC./CN=*.mailcontrol.com
Sep  7 14:16:12 mail postfix/smtpd[24139]: SSL_accept:SSLv3 read client certificate A
Sep  7 14:16:12 mail postfix/smtpd[24139]: SSL_accept:error in SSLv3 read client key exchange A
Sep  7 14:16:12 mail postfix/smtpd[24139]: SSL_accept error from cluster-b.mailcontrol.com[85.115.56.190]: -1
Sep  7 14:16:12 mail postfix/smtpd[24139]: warning: TLS library problem: 24139:error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message digest algorithm:a_verify.c:141:
Sep  7 14:16:12 mail postfix/smtpd[24139]: warning: TLS library problem: 24139:error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message digest algorithm:a_verify.c:141:
Sep  7 14:16:12 mail postfix/smtpd[24139]: lost connection after STARTTLS from cluster-b.mailcontrol.com[85.115.56.190]
Sep  7 14:16:12 mail postfix/smtpd[24139]: disconnect from cluster-b.mailcontrol.com[85.115.56.190]

Meine erste Vermutung war, dass es mit der doch etwas "ranzigen" (alten) Version von OpenSSL zu tun hat (wie der Herr https://listi.jpberlin.de/pipermail/pos ... 62595.html). Da Debian ja keinerlei Updates für solch alte Debian-Versionen mehr zur Verfügung stellt, habe ich OpenSSL direkt von der Source aktualisiert.
Das hat auch prima funktioniert, jedoch besteht das Problem immer noch - unverändert...

Gibt es hier jemanden vom Fach, der mir da einen Stoß in die richtige Richtung geben kann???

Vielen Dank schon mal...

[hec_tech]

Sowas kommt mir bekannt vor kämpfe bei uns in da Firma mit ähnlichen Problemen aber noch zusätzlich mit dem Problem sendmail

Ist der Mailserver ein reiner MX oder macht der auch MDA?

[rendegast]

warning: TLS library problem: 24139:error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message digest algorithm:a_verify.c:141:

Liegt es vielleicht daran?

Code: Alles auswählen

$ sslscan --starttls 85.115.56.190:25 | grep -i accepted
    Accepted  TLSv1  256 bits  DHE-RSA-AES256-SHA
    Accepted  TLSv1  256 bits  DHE-RSA-CAMELLIA256-SHA
    Accepted  TLSv1  256 bits  AES256-SHA
    Accepted  TLSv1  256 bits  CAMELLIA256-SHA
    Accepted  TLSv1  128 bits  DHE-RSA-AES128-SHA
    Accepted  TLSv1  128 bits  DHE-RSA-SEED-SHA
    Accepted  TLSv1  128 bits  DHE-RSA-CAMELLIA128-SHA
    Accepted  TLSv1  128 bits  AES128-SHA
    Accepted  TLSv1  128 bits  SEED-SHA
    Accepted  TLSv1  128 bits  CAMELLIA128-SHA
    Accepted  TLSv1  128 bits  RC4-SHA
    Accepted  TLSv1  128 bits  RC4-MD5
    Accepted  TLSv1  112 bits  EDH-RSA-DES-CBC3-SHA
    Accepted  TLSv1  112 bits  DES-CBC3-SHA

<->

Code: Alles auswählen

postconf | grep ciph

[lukesky333]

warning: TLS library problem: 24139:error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message digest algorithm:a_verify.c:141:

Liegt es vielleicht daran?

Code: Alles auswählen

$ sslscan --starttls 85.115.56.190:25 | grep -i accepted
    Accepted  TLSv1  256 bits  DHE-RSA-AES256-SHA
    Accepted  TLSv1  256 bits  DHE-RSA-CAMELLIA256-SHA
    Accepted  TLSv1  256 bits  AES256-SHA
    Accepted  TLSv1  256 bits  CAMELLIA256-SHA
    Accepted  TLSv1  128 bits  DHE-RSA-AES128-SHA
    Accepted  TLSv1  128 bits  DHE-RSA-SEED-SHA
    Accepted  TLSv1  128 bits  DHE-RSA-CAMELLIA128-SHA
    Accepted  TLSv1  128 bits  AES128-SHA
    Accepted  TLSv1  128 bits  SEED-SHA
    Accepted  TLSv1  128 bits  CAMELLIA128-SHA
    Accepted  TLSv1  128 bits  RC4-SHA
    Accepted  TLSv1  128 bits  RC4-MD5
    Accepted  TLSv1  112 bits  EDH-RSA-DES-CBC3-SHA
    Accepted  TLSv1  112 bits  DES-CBC3-SHA

<->

Code: Alles auswählen

postconf | grep ciph

Hier mal die bestehenden Einstellungen unseres Servers:

Code: Alles auswählen

lmtp_tls_exclude_ciphers =
lmtp_tls_mandatory_ciphers = medium
lmtp_tls_mandatory_exclude_ciphers =
milter_helo_macros = {tls_version} {cipher} {cipher_bits} {cert_subject} {cert_issuer}
smtp_tls_exclude_ciphers =
smtp_tls_mandatory_ciphers = medium
smtp_tls_mandatory_exclude_ciphers =
smtpd_tls_exclude_ciphers =
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_exclude_ciphers =
tls_export_cipherlist = ALL:+RC4:@STRENGTH
tls_high_cipherlist = ALL:!EXPORT:!LOW:!MEDIUM:+RC4:@STRENGTH
tls_low_cipherlist = ALL:!EXPORT:+RC4:@STRENGTH
tls_medium_cipherlist = ALL:!EXPORT:!LOW:+RC4:@STRENGTH
tls_null_cipherlist = eNULL:!aNULL

Gibt's da Punkte, wo man nachbessern kann? Bin leider echt nicht der Postfix-Profi - bin nur zum Handkuss gekommen...

Wie schon gesagt, ich habe OpenSSL manuell neu kompiliert - warscheinlich fehlen da noch die Abhängigkeiten?!? Wäre wirklich für jeden Tipp dankbar!

[lukesky333]

Sowas kommt mir bekannt vor kämpfe bei uns in da Firma mit ähnlichen Problemen aber noch zusätzlich mit dem Problem sendmail

Ist der Mailserver ein reiner MX oder macht der auch MDA?

Das ist ein reiner MX, also nur ein dummer Mail-Server... Eigentlich sollte das problemlos funktionieren, nur hat mein Vorgänger jahrelang keine Updates gemacht und nun hängen wir immer noch auf "Lenny" fest. Das Upgrade hätte ich schon mal versucht, aber das wird nie und nimmer richtig funktionieren - da sind zu viele Versionen dazwischen. Deshalb plane ich ein frisches System aufzusetzen, nur bis dahin muss der alte zuverlässig weiterlaufen.

[uname]

Gibt es hier jemanden vom Fach, der mir da einen Stoß in die richtige Richtung geben kann???

Einfach mal neu installieren. Und wenn dir das zu riskant ist besorge dir neue Hardware für die Neuinstallation und Migration der Konfigurationen/Daten. Falls das System wirklich wichtig ist, solltest du sowieso entsprechende Hardware rumstehen haben. Da die Software seit Jahren aus dem Support ist rate ich aus Sicherheitsgründen von Upgrades auf neuere Versionen ab. Du kannst gar nicht ausschließen, dass das System längst kompromittiert wurde.

[hec_tech]

Bei einem reinen MX würde ich das einen neuen MX installiert und fertig.

Nachdem der ja laut dir nicht MDA ist musst du ja nicht mal Daten migrieren.

Der Aufwand sollte etwa 3-4h sein wenn man schnell ist in 1-2.

Der Aufwand ein unsupportetes altes Debian zum laufen zu bekommen ist bei weiten höher. Die einzige sinnvolle Alternative ist meiner Meinung nach TLS abzudrehen. Das ist aber nur ein dirty temporärer fix.

[lukesky333]

Gibt es hier jemanden vom Fach, der mir da einen Stoß in die richtige Richtung geben kann???

Einfach mal neu installieren. Und wenn dir das zu riskant ist besorge dir neue Hardware für die Neuinstallation und Migration der Konfigurationen/Daten. Falls das System wirklich wichtig ist, solltest du sowieso entsprechende Hardware rumstehen haben. Da die Software seit Jahren aus dem Support ist rate ich aus Sicherheitsgründen von Upgrades auf neuere Versionen ab. Du kannst gar nicht ausschließen, dass das System längst kompromittiert wurde.

Wie bereits geschrieben plane ich eh schon ein neues System. Dieses soll aber allen Anforderungen entsprechen und benötigt etwas an Planung. Bis dahin muss der alte Server richtig funktionieren und das möglichst eher heute als morgen...

Ich vermute, dass das simple kompilieren und installieren von OpenSSL nicht ausreichend war. Was muss ich da noch erneuern???

Dann hab ich noch von Backports erfahren, wäre das eher ein gängiger Weg? Wie muss ich da genau vorgehen?

[lukesky333]

Bei einem reinen MX würde ich das einen neuen MX installiert und fertig.

Nachdem der ja laut dir nicht MDA ist musst du ja nicht mal Daten migrieren.

Der Aufwand sollte etwa 3-4h sein wenn man schnell ist in 1-2.

Der Aufwand ein unsupportetes altes Debian zum laufen zu bekommen ist bei weiten höher. Die einzige sinnvolle Alternative ist meiner Meinung nach TLS abzudrehen. Das ist aber nur ein dirty temporärer fix.

Sorry, da hab ich wohl was verdreht... Natürlich ist es ein MDA und es hängen Unmengen an Daten dran. Deshalb muss ich das System vorerst wieder lauffähig bekommen. Ich komme eigentlich eher aus der Software-Entwicklung und bin in Sachen Administration eher der Quereinsteiger. Damit komm ich soweit auch klar, solang es sich um aktuelle Systeme und Probleme handelt - nur mit so "antiken Debian-Versionen" hab ich meine Probleme.

TLS deaktivieren würde ich ungern, das wäre nur der allerletzte Ausweg. Das Problem mit OpenSSL muss doch lösbar sein, oder?

[rendegast]

Sep 7 14:16:12 mail postfix/smtpd[24139]: cluster-b.mailcontrol.com[85.115.56.190]: certificate verification depth=0 verify=1 subject=/C=US/ST=CA/L=San Diego/O=Websense INC./CN=*.mailcontrol.com
...
Sep 7 14:16:12 mail postfix/smtpd[24139]: disconnect from cluster-b.mailcontrol.com[85.115.56.190]

"postfix/smtpd" es ist also ein Verbindungsversuch zu Deinem Mailserver.
Ist das Akzeptieren von mail von diesem Server (US/CA/San Diego) denn überhaupt valide?

Kannst Du von einem lokalen Client Mail über Deinen postfix versenden?
(sodaß ihr erstmal eure eigenen mail wegbekommt)


Das Vorschlagen von Neuinstallation halte ich erstmal für fahrlässig,
da der weitere Hintergrund ja nicht geklärt ist.
Ist neben postfix nicht doch noch ein Mailserver (dovecot o.ä.) beteiligt,
Benutzerauthentifizierung, postfix fragt eine Datenbank/ldap oder den evtl. installierten dovecot (das gibt es auch)?
Ablage von Mail, Mailbestand?
Datenvolumen, Plattenplatz?
(Beim dovecot gibt es dovecot1>dovecot2 beim schrittweisen lenny>squeeze>wheezy>jessie,
beim letzten Schritt gäbe es das hier wohl erstmal nicht gewünschte systemd-Init als Problemquelle
(zu unterbinden per

Code: Alles auswählen

Package: systemd systemd-sysv
Pin: a=*
Pin-Priority: -1

),
evtl. eingebundene Datenbanken müssen berücksichtigt werden,
postfix selbst hat wohl auch obsolete und neue Optionen.)


Die Repos für diese alte Version befinden sich auf http://archive.debian.org,
womit zumindest schon mal ein (dist-)upgrade auf die letzt-verfügbare Version von lenny durchgeführt werden kann.
debian 5.0.10 scheint aber in der Beziehung "aktuell".



Ich würde mir von dem Server ein Image schiessen, es mit nach Hause nehmen
und die Upgrade-Kette in einer qemu durchspielen.

[lukesky333]

"postfix/smtpd" es ist also ein Verbindungsversuch zu Deinem Mailserver.
Ist das Akzeptieren von mail von diesem Server (US/CA/San Diego) denn überhaupt valide?

Bei uns werden generell keine Mails geblockt, ausser auf Spam-Listen gelistete Mail-Server (Spamcop, etc.). Also Mails sollten von diesem Server empfangen werden, ich seh den Verbindungsaufbau ja auch im Log.

Kannst Du von einem lokalen Client Mail über Deinen postfix versenden?
(sodaß ihr erstmal eure eigenen mail wegbekommt)

Das Versenden von Mails funktioniert tadellos, auch der Empfang (zum Großteil). Nur ein paar wenige Server machen eben diese genannten Probleme, was nach meiner Recherche mit OpenSSL zu tun hat.

Das Vorschlagen von Neuinstallation halte ich erstmal für fahrlässig,
da der weitere Hintergrund ja nicht geklärt ist.

Neuinstallation ist geplant, da ich mit solch einem alten System nicht leben kann. Das braucht jedoch Zeit und Planung, ich will mir ja nicht gleich wieder neue Probleme züchten.

Ist neben postfix nicht doch noch ein Mailserver (dovecot o.ä.) beteiligt,
Benutzerauthentifizierung, postfix fragt eine Datenbank/ldap oder den evtl. installierten dovecot (das gibt es auch)?

Dovecot läuft auch, macht aber bis dato keine Probleme. Authentifizierung erfolgt über lokale User - also kein LDAP o.ä.

Ablage von Mail, Mailbestand?
Datenvolumen, Plattenplatz?

Der Mailserver hat ca. eine Größe von 500GB, wobei über 400GB Daten sind. Deshalb ist ein einfaches Kopieren nicht ohne weiteres (vor allem Zeitaufwand) möglich. Ich brauche wie gesagt auch eine schnelle Lösung, ohne noch 1-2 Wochen rumzuprobieren. Muss auch keine besonders "schöne" Lösung sein, hauptsache alles funktioniert für die nächsten 1-2 Monate.

(Beim dovecot gibt es dovecot1>dovecot2 beim schrittweisen lenny>squeeze>wheezy>jessie,
beim letzten Schritt gäbe es das hier wohl erstmal nicht gewünschte systemd-Init als Problemquelle
(zu unterbinden per

Code: Alles auswählen

Package: systemd systemd-sysv
Pin: a=*
Pin-Priority: -1

),
evtl. eingebundene Datenbanken müssen berücksichtigt werden,
postfix selbst hat wohl auch obsolete und neue Optionen.)

Ein Upgrade habe ich bereits versucht, das macht mir (glaube ich) mehr Probleme als das es hilft.

Die Repos für diese alte Version befinden sich auf [deb]http://archive.debian.org[/deb],
womit zumindest schon mal ein (dist-)upgrade auf die letzt-verfügbare Version von lenny durchgeführt werden kann.
debian 5.0.10 scheint aber in der Beziehung "aktuell".

Jep, habe schon länger auf "archive" umgestellt - da ist alles auf dem letzten Stand. ...schon allein für den Upgrade-Versuch war das notwendig.

Ich würde mir von dem Server ein Image schiessen, es mit nach Hause nehmen
und die Upgrade-Kette in einer qemu durchspielen.

Wie schon gesagt, mir fehlt die Zeit. Ich muss dieses "kleine" OpenSSL-Problem lösen und das möglichst noch heute.

Was hätte ich nach dem Kompilieren & Installieren von OpenSSL noch kompilieren müssen, damit die Installation sauber und vollständig ist?

Helfen die Backports da evtl.??? ...falls ja, wie mach ich das am gescheitesten?

[catdog2]

beim letzten Schritt gäbe es das hier wohl erstmal nicht gewünschte systemd-Init als Problemquelle

Warum sollte das ein Problemquelle darstellen oder nicht gewünscht sein?

Das Vorschlagen von Neuinstallation halte ich erstmal für fahrlässig,

Ganz im Gegenteil. Nicht nur weil schon einige releases dazwischen sind sondern weil man nicht weiss was der Vorgänger damit getrieben hat, da lauern tendenziell böse Überraschungen aller Art. Außerdem muss man fast davon ausgehen, dass ein solches System längst kompromittiert ist.

TLS deaktivieren würde ich ungern, das wäre nur der allerletzte Ausweg. Das Problem mit OpenSSL muss doch lösbar sein, oder?

Naja wie viele liefern überhaupt mails mit TLS ein? Lösbar ist es evtl. mit viel gebastle irgendwie aber ob es den Aufwand wert ist ist die Frage. Würde Fast sagen lieber das Ding mit möglichst wenig Angriffsfläche am laufen halten und die Zeit in das neu machen investieren.
Ein mögliche Richtung in die man evtl. gehen könnte wäre einen smtp Proxy oder ein relay auf einem aktuellen System vorschuzschalten und da dann das TLS zu machen.

[lukesky333]

Ein mögliche Richtung in die man evtl. gehen könnte wäre einen smtp Proxy oder ein relay auf einem aktuellen System vorschuzschalten und da dann das TLS zu machen.

Klingt interessant, jedoch stellen sich mir da gleich mal neue Fragen:

1.) Der Proxy würde quasi extern als MX eingetragen, richtig?
2.) Der Proxy würde dann nur für eingehende Nachrichten genutzt, richtig?
3.) Im Fall dieser Lösung, wie kann ich das testen ohne jedes mal die DNS-Einträge ändern und warten zu müssen?

[hec_tech]

@1 Ja
@2 Je nach konfiguration ich würde auch über diesen senden
@3 Am besten mit internen Domains oder einer Subdomain oder eigener Testdomain. z.B: MX auf test.deinedomain.com setzten.

[lukesky333]

Ich hätte mir das dann ggf. so vorgestellt:

Ich installiere mir einen Mail-Proxy (mx.meinedomain.com) und lenke den MX auf diesen Server bzw. die IP. Dann könnte ich bei uns intern den MX auf die IP des jetzigen Mail-Servers hängen und ggf. muss ich nur die IP zurückstellen. ...das sollte doch funktionieren, oder sehe ich das zu blauäugig???

Aber eine andere Frage: Wie setze ich einen reinen Mail-Proxy auf? Gibt es da ein brauchbares Tutorial??? ...bin wie gesagt in Sachen Mail-Server noch nicht so bewandert...

[lukesky333]

So, ich hab die letzten Stunden Google gequält, habe aber leider nicht die gewünschten Resultate erziehlt.

Bei meiner Recherche bin ich auf ASSP gestossen, was ansich nicht schlecht klingt. Hat jemand Erfahrung damit und vor allem mit der Konfiguration? Ich glaube damit könnte ich mein derzeitiges Problem (OpenSSL) umgehen und auch in Zukunft etwas gegen Spam & Co tun.

Ich hab das ganze jetzt mal in einer VM laufen - jedoch keinen Schimmer, wie ich das System jetzt zwischen Internet und Mail-Server hänge...