SMTP TLS SSL Heartbleed Fix Ironport F5 Probleme

Abstract

Der SSL 1.0.1g Heartbleed Fix hat ein paar unerwünschte Nebenwirkungen. Ein Workaround steht bereit.

Der SSL 1.0.1g Heartbleed Fix hat ein paar unerwünschte Nebenwirkungen. Empfangende Mailserver, die mit einer vorgeschalteten Ironport-Firewall und eventuell mit „F5“ Loadbalancern abgesichert sind, können unter Umständen nicht mehr über SMTP TLS angesprochen werden.

Wer für diese Ziele mandatory TLS eingestellt hat wird seine Nachrichten nicht loswerden. Die Nachrichten verbleiben in der Mailqueue -- bis der Queue-Manager sie bounced. Der Workaround besteht darin, die verschlüsselte Session von TLSvX auf SSLv3 zu downgraden.

tls_policy:
example.com may             protocols=SSLv3
example.org encrypt         protocols=SSLv3
example.org fingerprint     protocols=SSLv3 match=...
example.org secure          protocols=SSLv3

Weitere Details zu diesen Problem finden sich unter http://www.mail-archive.com/postfix-users@postfix.org/msg57455.html.

Robert Schetterer, 11. April 2014