Hallo Ronny,
gabs evtl. openssl-Updates / wurden da eingespielt?
Wenn danach die daran hängenden (Mailserver)dienste nicht neugestartet werden, können diese erfahrungsgemäß durchaus im laufenden Betrieb mit solchen Fehlerbildern auseinanderfallen.
Wenn Zertifikate getauscht werden, sollten die Dienste logischerweise auch neugestartet werden.
Für sowas empfiehlt sich "needrestart" mit den entsprechenden apt- hooks. Das hat zwar auch paar Macken / liegt nicht immer richtig, idR tuts aber den Job.
Grüße,
Falk
On Thu, 2023-03-16 at 12:06 +0100, ronny@seffner.de wrote:
Hallo Liste,
ich begreifs gerade nicht ...
gegeben:
- 2 Server, Debian 11 + openssl + dovecot + postfix
- 10-ssl.conf von beiden dovecots md5 identisch
- /etc/ssl/openssl.cnf auf beiden Kisten md5 identisch
- main.cf auf beiden Kisten an den SSL-Parametern identisch, auch das
gleiche wildcard Zertifikat im Einsatz
- dpkg -l auf beiden Kisten identisch
Ohne Login (last) und ohne reboot sowie mit dovecot und postox- Diensten, die laut 'ps' seit 13.3. laufen, können wir seit gestern 22:30 Uhr rum mit der einen Kiste kein POP3s, IMAPs, SMTP_TLS mehr machen wegen "no shared cipher". Ich habe bei postfix und dovecot nun von der, durch mich eingegrenzten, ciper-Auswahl auf die defaults gewechselt und es geht wieder. Ja es war M$-Patchday, aber auch thunderbird, ungepatchte Windos/Outlook und fetchmail sind als Clients betroffen.
Was kann dem dem postfix/dovecot-openssl-Stack fehlen, dass plötzlich die ciphers nicht mehr "da" sind? Die identische Konfiguration geht ja auf dem zweiten Server. Ideen?
Mit freundlichen Grüßen / Kind regards Ronny Seffner