Sendmail + STARTTLS

[Dan Lukes]

On 21.6.2019 19:22, Ivo Hazmuk wrote:
> Musím s Danem mírně nesouhlasit ve věci workaroundu s ad-hoc vypínáním 
> STARTTLS.
> V poslední době se nám množí případy, že se spolu snaží navázat spojení 

No, jestli s eneco posunulo uplne cerstve, al eme si jest enikdo 
nestezoval, tak to nemusim vedet.

> dva stroje, jejichž implementace TLS nemají žádný průnik. Zejména, pokud 
> je správce na novějším stroji přísný a zakáže všechny starší/slabší 
> protokoly.

Tohle me zajima. A vy mate naopak zakazane ty moderni ze mate prazdny 
prunik ? A proc ?

Ja pro starsi implementace podporuju SSLv3 a na nem ECDHE-RSA-Au-SHA a 
ECDH-RSA-Enc-SHA (kde Enc je bud' AES128 nebo AES256) a pro ty moderne 
orientovane TLSv1.2 a ECDHE-RSA-Enc-Mac (kde Enc je bud' AES128, 
AESGCM(128), AES256 nebo AESGCM(256) a Mac je SHA384 nebo SHA256). A zda 
se mi to byt dostatecne pro vsechny situace.

Protoze jste me trochu znervoznili, tak jsem se teda podival na 
strukturu NOQUEUE pripadu. A nic podezreleho tam nevidim. Teda, krome 
toho, ze u 90% zaznamu si uz jen ocima troufam kvalifikovane odhadnout, 
ze z tohoto zdroje urcite neprichazi zadny vyzadany email (pokud tedy 
vubec nejaky).

Nejaky priklad s kym mas potiz ?


> Můžeš zkusit navázat SMTP relaci směrem na druhou stranu z příkazové řádky. Viz. man s_client (součást openssl).

Jsme to pochopil tak, ze ma problem, kdyz je server, takze klient je ten 
druhy.

A protoze klientske a serverove parametry se (alespon u sendmailu) 
konfiguruji kazdy zvlast, nemusi byt test "zpetnym volanim" uplne 
prukazny. Ale ano, za pokus nic nedas.

Dan