SMTP mit SSL-Authentifizierung - Spezialfall  [GELÖST]

Diskussionen zur Bedienung von KeyHelp.
goldene-zeiten
Posts: 357
Joined: Tue 8. Feb 2022, 17:05
Location: Regensburg
Contact:

Re: SMTP mit SSL-Authentifizierung - Spezialfall

Post by goldene-zeiten »

Direkt vom Standort, wo auch die EMA ist:

telnet hyperbrain.hahnefeld.it 465
Trying 2001:8d8:1800:816c::1...
Connected to hyperbrain.hahnefeld.it.
Escape character is '^]'.
Goldene Zeiten Juweliere
Goldankauf - Juwelier - Trauringe - Verlobungsringe - Goldschmiede - Uhrmacher
goldene-zeiten
Posts: 357
Joined: Tue 8. Feb 2022, 17:05
Location: Regensburg
Contact:

Re: SMTP mit SSL-Authentifizierung - Spezialfall

Post by goldene-zeiten »

Oder habe ich noch etwas übersehen?

Es muss doch ein Grund geben, warum früher auch nur WEB.de, T-Online usw. gingen. Irgendetwas müssen doch diese Anbieter anders haben, als der Standard ist.
Goldene Zeiten Juweliere
Goldankauf - Juwelier - Trauringe - Verlobungsringe - Goldschmiede - Uhrmacher
goldene-zeiten
Posts: 357
Joined: Tue 8. Feb 2022, 17:05
Location: Regensburg
Contact:

Re: SMTP mit SSL-Authentifizierung - Spezialfall

Post by goldene-zeiten »

Diese Infos hat wohl Lupus mal mit raus gegeben:

--
gmx und web gehen nicht mit der xt1

original Lupus info:
E-Mail: TLS Unterstützung (1und1, Web.de und gmx werden nicht unterstütztAt

bei t-online wäre es dann

securesmtp.t-online.de
Port:
465
Benutzer:
xxxxx@t-online.de
Passwort:
xxxxx
Absenderadresse:
xxxx@t-online.de
Der Server verwendet eine sichere Verbindung (SSL) x
--
Goldene Zeiten Juweliere
Goldankauf - Juwelier - Trauringe - Verlobungsringe - Goldschmiede - Uhrmacher
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: SMTP mit SSL-Authentifizierung - Spezialfall  [GELÖST]

Post by Florian »

Hallo,

ich vermute dass die Software nur TLS 1.0 kann. Also diese TLS-Version mal im Keyhelp aktivieren mit dieser Cipherliste:

ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-CHACHA20-POLY1305
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES256-SHA
DHE-RSA-AES128-SHA256
DHE-RSA-AES256-SHA256
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA256
AES128-SHA
AES256-SHA
DES-CBC3-SHA
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
BasHeijermans
KeyHelp Translator
Posts: 158
Joined: Mon 20. Jun 2022, 12:01
Location: Heppen Belgium
Contact:

Re: SMTP mit SSL-Authentifizierung - Spezialfall

Post by BasHeijermans »

Don't know if this helps, but it might.

They decided to stop using low encrytion, but you can change it yourself.

First run: openssl version -d
To find the config file called openssl.cnf (usualy in /etc/ssl but sometimes different)

Now open this file and look at the bottom, it says:

Code: Select all

[system_default_sect]
MinProtocol = TLSv1.2
CipherString = DEFAULT@SECLEVEL=2
Typical TSLv1.2 is fine, not seen anything below it yet.
However the DEFAULT@SECLEVEL=2 is recent and fails with a lot of systems, you may want to change it into 1

It can use less secure keys, if they run old software it could be a problem when your keys are too new and more complex.

You may need to reboot to make it work.

This has been changed recently, and providers often run old stuff, it may work for you. If not, just reverse it back.
Greetings Bas.

Ik heb KeyHelp naar het Nederlands vertaald, contacteer me als er translatie fouten zijn.
(I have translated KeyHelp into Dutch, contact me if there are translation errors.)
Next version 24 of KeyHelp 100% translated.
goldene-zeiten
Posts: 357
Joined: Tue 8. Feb 2022, 17:05
Location: Regensburg
Contact:

Re: SMTP mit SSL-Authentifizierung - Spezialfall

Post by goldene-zeiten »

Florian wrote: Fri 2. Sep 2022, 16:22 Hallo,

ich vermute dass die Software nur TLS 1.0 kann. Also diese TLS-Version mal im Keyhelp aktivieren mit dieser Cipherliste:

ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-CHACHA20-POLY1305
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES256-SHA
DHE-RSA-AES128-SHA256
DHE-RSA-AES256-SHA256
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA256
AES128-SHA
AES256-SHA
DES-CBC3-SHA
Aber damit würde ich erhebliche Sicherheitsrisiken für den Webserver eingehen?
Goldene Zeiten Juweliere
Goldankauf - Juwelier - Trauringe - Verlobungsringe - Goldschmiede - Uhrmacher
goldene-zeiten
Posts: 357
Joined: Tue 8. Feb 2022, 17:05
Location: Regensburg
Contact:

Re: SMTP mit SSL-Authentifizierung - Spezialfall

Post by goldene-zeiten »

Florian wrote: Fri 2. Sep 2022, 16:22 Hallo,

ich vermute dass die Software nur TLS 1.0 kann. Also diese TLS-Version mal im Keyhelp aktivieren mit dieser Cipherliste:

ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-CHACHA20-POLY1305
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES256-SHA
DHE-RSA-AES128-SHA256
DHE-RSA-AES256-SHA256
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA256
AES128-SHA
AES256-SHA
DES-CBC3-SHA
Also ich habe es ausgetestet:
1. Benutzerdefinierte Konfiguration
2. TLS 1
3. deine TLS-Ciphers

Sogar den Server noch neu gestartet. Aber gleiches Ergebnis. Mails können nicht verschickt werden - leider!!!
Goldene Zeiten Juweliere
Goldankauf - Juwelier - Trauringe - Verlobungsringe - Goldschmiede - Uhrmacher
User avatar
MLan
Posts: 466
Joined: Wed 20. Sep 2017, 23:05
Location: @home

Re: SMTP mit SSL-Authentifizierung - Spezialfall

Post by MLan »

goldene-zeiten wrote: Fri 2. Sep 2022, 16:52
Also ich habe es ausgetestet:
1. Benutzerdefinierte Konfiguration
2. TLS 1
3. deine TLS-Ciphers

Sogar den Server noch neu gestartet. Aber gleiches Ergebnis. Mails können nicht verschickt werden - leider!!!

poste mal dein /var/log/mail.log
goldene-zeiten
Posts: 357
Joined: Tue 8. Feb 2022, 17:05
Location: Regensburg
Contact:

Re: SMTP mit SSL-Authentifizierung - Spezialfall

Post by goldene-zeiten »

BasHeijermans wrote: Fri 2. Sep 2022, 16:36 Don't know if this helps, but it might.

They decided to stop using low encrytion, but you can change it yourself.

First run: openssl version -d
To find the config file called openssl.cnf (usualy in /etc/ssl but sometimes different)

Now open this file and look at the bottom, it says:

Code: Select all

[system_default_sect]
MinProtocol = TLSv1.2
CipherString = DEFAULT@SECLEVEL=2
Typical TSLv1.2 is fine, not seen anything below it yet.
However the DEFAULT@SECLEVEL=2 is recent and fails with a lot of systems, you may want to change it into 1

It can use less secure keys, if they run old software it could be a problem when your keys are too new and more complex.

You may need to reboot to make it work.

This has been changed recently, and providers often run old stuff, it may work for you. If not, just reverse it back.
root@hyperbrain:/# openssl version -d
OPENSSLDIR: "/usr/lib/ssl"

./etc/ssl/openssl.cnf
./usr/lib/ssl/openssl.cnf

But in both files the section you are writing is not there. Nothing of this three lines...
Goldene Zeiten Juweliere
Goldankauf - Juwelier - Trauringe - Verlobungsringe - Goldschmiede - Uhrmacher
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: SMTP mit SSL-Authentifizierung - Spezialfall

Post by Florian »

Hi,

also TLS 1.0 ist aber momentan nicht aktiv auf Deinem Server:

openssl s_client -connect hyperbrain.hahnefeld.it:25 -starttls smtp -tls1
CONNECTED(00000003)
139883118319272:error:1409442E:SSL routines:SSL3_READ_BYTES:tlsv1 alert protocol version:s3_pkt.c:1315:SSL alert number 70
139883118319272:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:637:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 263 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1662134767
Timeout : 7200 (sec)
Verify return code: 0 (ok)

Ich habe es mal auf einem Ubuntu 20 Server getestet. Hier reicht es eigentlich die Einstellungen im Keyhelp zu machen damit der Postfix TLS 1.0 akzeptiert. Änderungen an der openssl.cnf sind nicht nötig.
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
BasHeijermans
KeyHelp Translator
Posts: 158
Joined: Mon 20. Jun 2022, 12:01
Location: Heppen Belgium
Contact:

Re: SMTP mit SSL-Authentifizierung - Spezialfall

Post by BasHeijermans »

Florian wrote: Fri 2. Sep 2022, 18:08 But in both files the section you are writing is not there. Nothing of this three lines...
Did you try to add the lines? Maybe they are missing because of the defaults.
Add them and see what happens.
Greetings Bas.

Ik heb KeyHelp naar het Nederlands vertaald, contacteer me als er translatie fouten zijn.
(I have translated KeyHelp into Dutch, contact me if there are translation errors.)
Next version 24 of KeyHelp 100% translated.
goldene-zeiten
Posts: 357
Joined: Tue 8. Feb 2022, 17:05
Location: Regensburg
Contact:

Re: SMTP mit SSL-Authentifizierung - Spezialfall

Post by goldene-zeiten »

Florian wrote: Fri 2. Sep 2022, 18:08 Hi,

also TLS 1.0 ist aber momentan nicht aktiv auf Deinem Server:

openssl s_client -connect hyperbrain.hahnefeld.it:25 -starttls smtp -tls1
CONNECTED(00000003)
139883118319272:error:1409442E:SSL routines:SSL3_READ_BYTES:tlsv1 alert protocol version:s3_pkt.c:1315:SSL alert number 70
139883118319272:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:637:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 263 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1662134767
Timeout : 7200 (sec)
Verify return code: 0 (ok)

Ich habe es mal auf einem Ubuntu 20 Server getestet. Hier reicht es eigentlich die Einstellungen im Keyhelp zu machen damit der Postfix TLS 1.0 akzeptiert. Änderungen an der openssl.cnf sind nicht nötig.
Hallo Florian, ja das ist richtig! Ich habe die Änderungen wieder rückgängig gemacht, nachdem kein Erfolg zu vermelden war. Zudem habe ich große Sorgen, dass ich mit Version 1.0 mir eventuell Sicherheitslücken auftue und das möchte ich natürlich eigentlich vermeiden. Natürlich kann ich die Änderung jederzeit wieder auf Version 1.0 zurücksetzen. Liebe Grüße von Björn
Goldene Zeiten Juweliere
Goldankauf - Juwelier - Trauringe - Verlobungsringe - Goldschmiede - Uhrmacher
goldene-zeiten
Posts: 357
Joined: Tue 8. Feb 2022, 17:05
Location: Regensburg
Contact:

Re: SMTP mit SSL-Authentifizierung - Spezialfall

Post by goldene-zeiten »

Florian wrote: Fri 2. Sep 2022, 18:08 Hi,

also TLS 1.0 ist aber momentan nicht aktiv auf Deinem Server:

openssl s_client -connect hyperbrain.hahnefeld.it:25 -starttls smtp -tls1
CONNECTED(00000003)
139883118319272:error:1409442E:SSL routines:SSL3_READ_BYTES:tlsv1 alert protocol version:s3_pkt.c:1315:SSL alert number 70
139883118319272:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:637:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 263 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1662134767
Timeout : 7200 (sec)
Verify return code: 0 (ok)

Ich habe es mal auf einem Ubuntu 20 Server getestet. Hier reicht es eigentlich die Einstellungen im Keyhelp zu machen damit der Postfix TLS 1.0 akzeptiert. Änderungen an der openssl.cnf sind nicht nötig.
Nun aber ist Version 1.0 aktiv :)
Goldene Zeiten Juweliere
Goldankauf - Juwelier - Trauringe - Verlobungsringe - Goldschmiede - Uhrmacher
goldene-zeiten
Posts: 357
Joined: Tue 8. Feb 2022, 17:05
Location: Regensburg
Contact:

Re: SMTP mit SSL-Authentifizierung - Spezialfall

Post by goldene-zeiten »

Und hier nun der relevante Teil von /var/log/mail.info:

--
Sep 2 20:48:44 hyperbrain postfix/smtps/smtpd[20498]: connect from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244]
Sep 2 20:48:45 hyperbrain postfix/smtps/smtpd[20498]: TLS SNI hyperbrain.hahnefeld.it from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244] not matched, using default chain
Sep 2 20:49:01 hyperbrain postfix/smtps/smtpd[20498]: B027C1062927: client=dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244], sasl_method=LOGIN, sasl_username=info@goldene-zeiten.info
Sep 2 20:49:01 hyperbrain postsrsd[20505]: srs_forward: <regensburg@goldene-zeiten.info> rewritten as <SRS0=pySb=ZF=goldene-zeiten.info=regensburg@hahnefeld.it>
Sep 2 20:49:01 hyperbrain postfix/smtps/smtpd[20498]: B027C1062927: reject: RCPT from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244]: 550 5.1.1 <de>: Recipient address rejected: User unknown in local recipient table; from=<regensburg@goldene-zeiten.info> to=<de> proto=ESMTP helo=<goldene-zeiten.info>
Sep 2 20:49:02 hyperbrain postfix/smtps/smtpd[20498]: lost connection after RCPT from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244]
Sep 2 20:49:02 hyperbrain postfix/smtps/smtpd[20498]: disconnect from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244] ehlo=1 auth=1 mail=1 rcpt=1/2 commands=4/5
--

Wenn ich auf den Standard 1.2 zurückstelle (was mir natürlich auch lieber wäre), dann deutet alles darauf hin, dass die Kommunikation platzt:
--
Sep 2 20:56:46 hyperbrain postfix/smtps/smtpd[21920]: SSL_accept error from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244]: -1
Sep 2 20:56:46 hyperbrain postfix/smtps/smtpd[21920]: warning: TLS library problem: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol:../ssl/statem/statem_srvr.c:1685:
Sep 2 20:56:46 hyperbrain postfix/smtps/smtpd[21920]: lost connection after CONNECT from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244]
Sep 2 20:56:46 hyperbrain postfix/smtps/smtpd[21920]: disconnect from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244] commands=0/0
Sep 2 20:57:07 hyperbrain postfix/smtps/smtpd[21920]: connect from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244]
Sep 2 20:57:08 hyperbrain postfix/smtps/smtpd[21920]: SSL_accept error from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244]: -1
Sep 2 20:57:08 hyperbrain postfix/smtps/smtpd[21920]: warning: TLS library problem: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol:../ssl/statem/statem_srvr.c:1685:
Sep 2 20:57:08 hyperbrain postfix/smtps/smtpd[21920]: lost connection after CONNECT from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244]
Sep 2 20:57:08 hyperbrain postfix/smtps/smtpd[21920]: disconnect from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244] commands=0/0
--

Also mit der TLS-Geschichte scheinen wir zumindest nah dran zu sein...
Last edited by goldene-zeiten on Fri 2. Sep 2022, 20:59, edited 1 time in total.
Goldene Zeiten Juweliere
Goldankauf - Juwelier - Trauringe - Verlobungsringe - Goldschmiede - Uhrmacher
User avatar
MLan
Posts: 466
Joined: Wed 20. Sep 2017, 23:05
Location: @home

Re: SMTP mit SSL-Authentifizierung - Spezialfall

Post by MLan »

Code: Select all

hyperbrain postsrsd[20505]: srs_forward: <regensburg@goldene-zeiten.info> rewritten as <SRS0=pySb=ZF=goldene-zeiten.info=regensburg@hahnefeld.it>

Recipient address rejected: User unknown in local recipient table; from=<regensburg@goldene-zeiten.info> to=<de> proto=ESMTP helo=<goldene-zeiten.info>
Ich hoffe du weisst was du tust.
Post Reply