Zu große Schlüssel sind zu klein
Mich begrüßte heute früh eine Mitteilung der Mailinglistensoftware von gnu.org, dass es Zustellprobleme bei E-Mail gäbe und man mich aus den Listen werfen würde. Die Fehlermeldung besagt, dass die Diffie-Hellmann-Schlüssel zu klein seien. Stattdessen ist es umgekehrt. Oder doch nicht?
Der Schreck
Messages to you from the xxx mailing list seem to have been bouncing. I've attached a copy of the first bounce message I received. If this message bounces too, I will send you a probe. If the probe bounces, I will remove your address from the xxx mailing list, without further notice. ... --- ... Hi. This is the qmail-send program at sourceware.org. I'm afraid I wasn't able to deliver your message to the following addresses. This is a permanent error; I've given up. Sorry it didn't work out. <lutz@...>: TLS connect failed: error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM: dh key too small; connected to 217.17.192.66. I'm not going to try again; this message has been in the queue too long.
Sollte ich die Maschine vergessen habe? Sollten da noch kurze DH-Schlüssel rumliegen?
Ungläubiges Staunen
Also schaue ich mal nach (und zwar auf beiden MXen) nach. Aber natürlich würde ich kaum Schlüssellängen verwenden, die auch andere benutzen.
[217.17.192.66]# dhparam -in /etc/sendmail/dhparams.pem -text | head -1 Diffie-Hellman-Parameters: (1139 bit) [217.17.192.67]# dhparam -in /etc/sendmail/dhparams.pem -text | head -1 Diffie-Hellman-Parameters: (1123 bit)
Auf der 66, dem sekundären MX, ist der Schlüssel größer als auf dem primären MX (der 67). Und qmail sagt, dieser Schlüssel sei zu klein? Eine Prüfung ergibt, dass die Einlieferung auf dem primären MX problemlos klappt.
Dec 1 11:51:33 excalibur sm-mta[31817]: uB1ApSQ1031817: from=<xxx@yyy.gnu.org>, size=5506, class=-60, nrcpts=1, msgid=<zzz>, proto=ESMTP, daemon=MTA, relay=server1.sourceware.org [209.132.180.131]
Analoge Zeilen auf dem sekundären MX fehlen, stattdessen findet sich dort (passend zu der Beschwerde der Mailinglistensoftware)
Nov 30 13:02:07 avalon sm-mta[2695]: uAUC243i002695: server1.sourceware.org [209.132.180.131] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Ganz offensichtlich kommt das absendende Programm qmail nicht mit diesem Server klar.
Die eigne Nase
Intensives Suchen überzeugt mich, dass ich mit dem Problem allein bin. Es ist also sehr wahrscheinlich, dass der Fehler bei mir liegt.
Ein Test gegen den Server mit openssl s_client zeigt, dass tatsächlich ein zu kurzer DH-Key offeriert wird. WTF?
Die Konfiguration des Sendmail hat ganz klar die Konfigurationszeile auskommentiert, in der die Parameter zugewiesen werden. Der Sendmail hat sich selbst einen 512bit Key gebaut. Und der ist tatsächlich zu klein!
Also Konfig korrekt vorgenommen und ...
... siehe da, es geht!