mailx mit web.de: TLS 1.0 und 1.1 wurde abgeschaltet

  • Hallo zusammen, ich hoffe, es gibt einen Trick: web.de hat mitgeteilt, dass TLS 1.1 nicht mehr unterstützt wird.

    "Deaktivierung der Verschlüsselungs­protokolle TLS 1.0 und TLS 1.1"

    Soweit OK. Nun gehen aber eine Scripte nicht mehr. Dort verwende ich heirloom-mailx und offenbar das alte Protokoll. Ich bekomme:

    Code
    sendmail: Cannot open mail.web.de:587

    Kann man das wieder gängig machen?

  • mailx mit web.de: TLS 1.0 und 1.1 wurde abgeschaltet? Schau mal ob du hier fündig wirst!

  • Nun gehen aber eine Scripte nicht mehr. Dort verwende ich heirloom-mailx ...

    Versuch mal mit sendemail:

    Code
    apt-cache show sendemail

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    PI3B OpenBSD 7.4 (64bit), mit stayauth-Flag 24/7 im Wlan

  • Wenn ich es richtig sehe, dann handelt es sich hierbei um s-nail:

    Quote

    Description: feature-rich BSD mail(1) -- transitional package This dummy package is provided to provide a smooth upgrade path from heirloom-mailx to s-nail. It only contains symlinks to the s-nail binary and manpage.

    s-nail scheint TLS V1.1, V1.2 und V1.3 zu unterstützen:

    https://www.sdaoden.eu/code-nail-ann.html

    https://www.sdaoden.eu/code-nail.html#595

    Mindestens seit: v14.9.11 ("Tit family enjoying a bath"), 2018-08-08

    Welche Version benutzt du denn?

  • Das system ist ein stretch.

    Ein einfaches Update geht da wohl nicht?

    14.8.16-1 ist die (aktuelle) Version für stretch: https://packages.debian.org/stretch/s-nail

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    PI3B OpenBSD 7.4 (64bit), mit stayauth-Flag 24/7 im Wlan

  • Ja. Das ist suboptimal. ich kann nicht riskieren, das nach einem Upgrade was anderes nicht mehr geht. Die Systeme laufen seit 5 Jahren praktisch wartungsfrei. Trotzdem Danke erstmal. Vielleicht gibt es ja noch andere Ideen? s-nail aus den Quellen kompilieren? Wahrscheinlich wird eine neue TLS library benötigt. Das kann kompliziert werden...

  • s-nail aus den Quellen kompilieren? Wahrscheinlich wird eine neue TLS library benötigt.

    14.9.22 (bullseye):

    Display Spoiler

    Wie ist mit stretch, die Ausgabe von:

    Code
    apt-cache policy libssl-dev

    ?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    PI3B OpenBSD 7.4 (64bit), mit stayauth-Flag 24/7 im Wlan

  • Vielleicht gibt es ja noch andere Ideen?

    Du könntest Dir einen eigenen Mailserver aufbauen, der noch TLS1.0/1.1 entgegennimmt und über den die Mails an Web.de senden.

    Dafür brauchst Du natürlich einen weiteren Pi oder sonst einen kleinen Rechner, hast aber den Vorteil, das die vorhandenen Pi nicht angepasst werden müssen (außer der Mailadresse).

    Interessant wird es dann erst wieder, wenn alle Mailprovider auf 2FA umsteigen (so wie gmail das schon gemacht hat).

    Gruss

  • Code
    apt-cache policy libssl-dev

    ?

    Für Stretch:

    Code
    libssl-dev:
      Installiert:           (keine)
      Installationskandidat: 1.1.0l-1~deb9u6
      Versionstabelle:
         1.1.0l-1~deb9u6 500
            500 http://raspbian.raspberrypi.org/raspbian stretch/main armhf Packages
  • Für Stretch:

    Code
      Installationskandidat: 1.1.0
     

    Dann wird es mit dem kompilieren aus dem source-code, evtl. nicht funktionieren.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    PI3B OpenBSD 7.4 (64bit), mit stayauth-Flag 24/7 im Wlan

  • Du könntest Dir einen eigenen Mailserver aufbauen, der noch TLS1.0/1.1 entgegennimmt und über den die Mails an Web.de senden.

    Dafür brauchst Du natürlich einen weiteren Pi oder sonst einen kleinen Rechner, hast aber den Vorteil, das die vorhandenen Pi nicht angepasst werden müssen (außer der Mailadresse).

    Interessant wird es dann erst wieder, wenn alle Mailprovider auf 2FA umsteigen (so wie gmail das schon gemacht hat).

    Gruss

    Ja, hab ich auch schon überlegt. Dann wäre es aber einfacher, mir ne andere Mailadresse zu besorgen, wo das TLS 1.0 noch geht. Dann brauche ich nur die zu ändern. Aber das ist wahrscheinlich keine nachhaltige Lösung, wenn die dann auch umstellen. Ist echt mist.


    Wie wärs mit ner Bastellösung: Ich besorg mir nen binary von der neuen libssl, und nenne die dann um? Geht wahrscheinlich auch nicht, wenn sich die API geaendert hat.

  • EIn Teil der Rechner läuft sogar schon mit jessie, aber da ist dasselbe Problem:

    Code
    pi@gaspower:/home/pi>apt-cache policy libssl-dev                        
    libssl-dev:
      Installiert:           1.0.1t-1+deb8u12
      Installationskandidat: 1.0.1t-1+deb8u12
      Versionstabelle:
     *** 1.0.1t-1+deb8u12 0
            500 http://archive.raspbian.org/raspbian/ jessie/main armhf Packages
            100 /var/lib/dpkg/status

    Oder war jessie noch älter?

  • ... Bullseye (aktuell) mit so einem alten Pi B+ reibungslos funktioniert?

    Für den PI B+ könntest Du mit dem aktuellen FreeBSD13.1 versuchen. Damit gibt es auch das aktuelle s-nail-14.9.24.

    Siehe auch: https://wiki.freebsd.org/arm/Raspberry%20Pi

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    PI3B OpenBSD 7.4 (64bit), mit stayauth-Flag 24/7 im Wlan

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!