seit einer Weile bekomme ich folgende Fehlermeldung, wenn ich versuche Emails über mail.o2online.de zu verschicken:
SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small
Das ist ein Hinweis auf ein Sicherheitsrisiko auf Ihren Servern!
Daraufhin verweigert meine Mail-Software (postfix) den Versand, weil sie den Server für unsicher hält. Die Ursache dafür ist, dass das Diffie Hellman Zertifikat auf dem Server einen zu kurzen Schlüssel verwendet. Seit der logjam Angriffe (Weak Diffie-Hellman and the Logjam Attack) fordert die OpenSSL Bibliothek längere Schlüssel (mindestens 768 bit).
Das Problem lässt sich auf folgende Weise mit einem aktuellen OpenSSL nachvollziehen:
openssl s_client -connect mail.o2online.de:587 -starttls smtp
Bitte aktualisieren Sie ihre Diffie Hellman-Zertifikate auf mail.o2online.de entsprechend mit längeren Schlüsseln, aktuell werden mindestens 1024bit empfohlen. Möglicherweise sind auch noch andere Server davon betroffen...
Besten Dank
CKU
Lösung von o2_Michael
Zur Antwort springen