Problema de ssl al recibir correos de servidores mx de godaddy

Forums: 

En los ultimos dias se me a presentado una falla con los servidores de correo que tengo en produccion, al recibir correos de clientes que alojan sus cuentas en hosting de la empresa godaddy al enviarme correos empieza la negociacion tls pero me genera un log confuso aun no logro dar con la falla aqui les dejo el log.

STARTTLS=server, error: accept failed=-1, SSL_error=5, errno=32, retry=-1

claramente es un error de negociacion de ssl pero solo sucede con los servidores de godaddy

STARTTLS=server, error: accept failed=-1, SSL_error=5, errno=32, retry=-1
Aug 13 09:39:10 ideay sendmail[2846]: t7DFd9jC002846: p3plsmtp24-03-2.prod.phx3.secureserver.net [68.178.252.186] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Aug 13 09:39:11 ideay sendmail[2852]: STARTTLS=server, error: accept failed=-1, SSL_error=5, errno=104, retry=-1
Aug 13 09:39:11 ideay sendmail[2852]: t7DFdBgv002852: p3plsmtp24-03-2.prod.phx3.secureserver.net [68.178.252.186] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA

de el resto de servidores no tengo problemas la negociacion es correcta mis clientes se quejan siempre que no reciben correos de ciertos usuarios y cuando reviso los logs todos vienen de secureserver.net alguien que haya visto este inconveniente que me de una luz, si apago en el sendmail la negociacion TLS no hay problemas el server recibe sin problemas, ya revise los certificados son autofirmados pero estan validos incluso genere nuevos para descartar y probe con otro server y siempre es lo mismo estoy seguro que es algo en mis servidores que tengo mal pero no lo encuentro ya me siento quemado acudo a su apoyo para encontrar una luz en este dilema.
ojo con zimbra no tengo problemas es seguro que algo no tengo bien configurado en estos servidores con sendmail como mta pero no lo encuentro.

cualquier sugerencia es bien agradecida.

Listo gracias deathUser me diste la luz que me faltaba

Imagen de juandarcy2000

Fuente
http://www.linuxweblog.com/blog-tags/linux/sendmail

* openssl
* Sendmail

Logjam broke Sendmail?

Generate new DH keys file:

[quote]cd /etc/pki/tls/certs
openssl dhparam -out dhparams.pem 2048[/quote]

Editar sendmail.mc

[quote]define(`confDH_PARAMETERS',`/etc/pki/tls/certs/dhparams.pem')dnl[/quote]

[quote]m4 sendmail.mc > sendmail.cf[/quote]

[quote]service sendmail restart[/quote]

listo se mejora la encriptación.

Otro dato importante que quiero compartir

Imagen de juandarcy2000

Sucedió que un servidor especifico no quiere hacer negociación TLS con los correos que envió desde mi servidor siempre me reporta TLS Handshake errror, por lo tanto todo correo que se le enviá que intenta enviar mi server es deferred, la documentación de sendmail reporta que si algun servidor no quiere aceptar la negociacion se puede agregar una linea en el archivo access la cual le informa a mi mta que ignore la negociacion TLS con ese servidor especifico.

la linea es esta.

Try_TLS:aqui se agrega el server mx que se desea ignorar NO

ejemplo:

Try_TLS:mail.hatworld.com NO ------> esto es lo recomendable
Try_TLS: NO ------> esto no es recomendable

Siempre los MTA van a negociar en TLS cualquier correo y si se genera un error pues el mta rechaza la negociacion y no entrega el correo asi trabajan los mta por defecto al activar el TLS. es importante definir el servidor que se desea ignorar la negociacion ya que algunos servidores no hacen aceptan este tipo de negociacion ya que el mta primero intenta negociar en TLS, al recibir el rechazo del servidor remoto automaticamente vuelve a negociar sin TLS y gmail por ejemplo manda un mensaje que dice (do not try TLS with gmail-smtp-in.l.google.com), ya que gmail siempre se comunica en tls claro el correo se envia pero estar viendo esos logs en un mta es incomodo y la idea es siempre entregar encriptado todo esto se usa en casos especificos.