Hallo,
auf einem UTM-Cluster (v9.708-6) habe ich unter "Email Protection" ==> "SMTP" ==> "Advanced" ==> "TLS Settings" das Zertifikat (Commodo) hinterlegt und "TLS version" auf 1.2 gesetzt. Funktioniert alles ganz normal, E-Mails werden TLS-verschlüsselt, wenn es geht. CheckTLS ist für die Absenderdomain der UTM auch happy.
Jetzt habe ich unter "Require TLS Negotiation Hosts/Nets" ==> "Internet IPv4" (und v6) hinzugefügt, um Verbindungen ohne TLS zu verhindern. Gut, da bleiben einige ausgehende E-Mails im Spool liegen, also dachte ich mir, ich trage die "guten" Domains, also diejenigen die ausnahmsweise auch ohne TLS erreichbar sein müssen unter "Skip TLS Negotiation Hosts/Nets" ein. Also die MX-Records der Empfänger-Domain rausgesucht, die vier FQDNs als vier "DNS Group" angelegt und bei "Skip TLS ..." eingetragen.
Leider skipped da nichts, E-Mails an die Non-TLS-Domain bleiben im Spool liegen, bis ich "Internet IPv4" bei "Require TLS Negotiation Hosts/Nets" lösche, danach werden sie abgesendet.
Mit dem Sophos-Support mach ich jetzt seit dem 30.11. rum, ohne Aussicht auf Erfolg, ich bin noch keinen Schritt weiter. Außer einer schwammigen Aussage, dass "Require" immer vor "Skip" bewertet wird. Wenn dem so sein sollte, wozu gibt es dann "Skip"? Ich soll jetzt alle Domainen, die TLS unterstützen, bei "Require" eintragen. Haha! Im Ernst, so habe ich das indische Englisch am Telefon interpretiert. Das kann doch nicht sein, oder?
2021:11:30-13:22:07 gate-2 exim-out[17258]: 2021-11-30 13:22:07 1mrzw5-0004hu-SL H=mxb.expurgate.de [194.145.224.21]:25: a TLS session is required, but the server did not offer TLS support 2021:11:30-13:22:07 gate-2 exim-out[17258]: 2021-11-30 13:22:07 1mrzw5-0004hu-SL H=mxb.expurgate.de [194.145.224.15]:25: a TLS session is required, but the server did not offer TLS support 2021:11:30-13:22:07 gate-2 exim-out[17258]: 2021-11-30 13:22:07 1mrzw5-0004hu-SL H=mxb.expurgate.de [194.145.224.16]:25: a TLS session is required, but the server did not offer TLS support 2021:11:30-13:22:07 gate-2 exim-out[17258]: 2021-11-30 13:22:07 1mrzw5-0004hu-SL H=mxb.expurgate.de [195.190.135.23]:25: a TLS session is required, but the server did not offer TLS support 2021:11:30-13:22:07 gate-2 exim-out[17258]: 2021-11-30 13:22:07 1mrzw5-0004hu-SL H=mxb.expurgate.de [195.190.135.22]:25: a TLS session is required, but the server did not offer TLS support 2021:11:30-13:22:07 gate-2 exim-out[17257]: 2021-11-30 13:22:07 1mrzw5-0004hu-SL == aaa.bbb@xxx.de R=dnslookup T=remote_smtp defer (-38) H=mxb.expurgate.de [195.190.135.22]:25: a TLS session is required, but the server did not offer TLS support
mxb.expurgate.de ist einer der MX-Records der Empfängerdomain (hier als xxx.de "geschwärzt"), also irgendein vorgeschalteter Dienstleister. Alle MX-Records der Empfängerdomain fallen bei CheckTLS durch.
Frage: Habe ich alles richtig gemacht? Ist das ein Bug oder ein Feature, dass "Skip" ignoriert wird?
Danke für eure Unterstützung!
This thread was automatically locked due to age.
