postfix smtp ssl accept error

[Henning]

STOP - Bitte lesen Sie die nächsten Zeilen aufmerksam!

1) Bitte füllen Sie die unten stehende Beitragsvorlage vollständig aus!
2) Die Mitglieder dieses Forum stellen ihre wertvolle Zeit zur Verfügung, um zu helfen! Bitte stellen Sie im Gegenzug soviel Informationen wie möglich zur Verfügung und seien Sie in der Fehlerbeschreibung konkret. Beiträge die geringe Eigeninitiative zeigen werden wahrscheinlich keine guten Antworten erhalten!

Sie können diesen oberen Teil der Beitragsvorlage entfernen.
Die folgende Beitragsvorlage darf jedoch in keinem Fall entfernt werden.
---------------------------------------------------------------------------


Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
Vermutlich


Server-Betriebssystem + Version
Debian 11.3


Eingesetzte Server-Virtualisierung-Technologie
KVM


KeyHelp-Version + Build-Nummer
22.0 2393


Problembeschreibung / Fehlermeldungen

May 4 11:38:18 zeus postfix/submission/smtpd[198181]: SSL_accept error from unknown[2.56.56.5]: -1
May 4 11:38:18 zeus postfix/submission/smtpd[198181]: warning: TLS library problem: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol:../ssl/statem/statem_srvr.c
May 4 11:38:18 zeus postfix/submission/smtpd[198181]: lost connection after STARTTLS from unknown[2.56.56.5]
May 4 11:38:18 zeus postfix/submission/smtpd[198181]: disconnect from unknown[2.56.56.5] ehlo=1 starttls=0/1 commands=1/2

Erwartetes Ergebnis
Fehlerbehebung

Tatsächliches Ergebnis


Schritte zur Reproduktion
Kommt in immer wiederkehrenden Abständen

Zusätzliche Informationen
Mir ist nicht bekannt, wo genau der Fehler mit der TLS Libary liegt. Ist es fehlerhafte config in meinem System oder von demjenigen, der versucht sich mit mir gesichert zu verbinden? Ich habe auch weiterhin das Gefühl, dass mich nicht jeden Mail erreicht, bsp. Zalando oder auch Amazon. Bei letzterem erhalte ich immer folgenden Log-Eintrag:

May 4 10:26:29 zeus postfix/smtpd[194655]: TLS SNI a1-143.smtp-out.eu-west-1.amazonses.com from unknown[54.240.1.143] not matched, using default chain
May 4 10:26:30 zeus postfix/smtpd[194655]: NOQUEUE: reject: RCPT from unknown[54.240.1.143]: 450 4.7.25 Client host rejected: cannot find your hostname, [54.240.1.143]; from=<20220504082245e1b70c4ac3944a558e85bb5def00p0>
May 4 10:26:46 zeus postfix/smtpd[194660]: connect from unknown[54.240.1.70]
May 4 10:26:46 zeus postfix/smtpd[194660]: TLS SNI a1-70.smtp-out.eu-west-1.amazonses.com from unknown[54.240.1.70] not matched, using default chain
May 4 10:26:46 zeus postfix/smtpd[194660]: NOQUEUE: reject: RCPT from unknown[54.240.1.70]: 450 4.7.25 Client host rejected: cannot find your hostname, [54.240.1.70]; from=<2022050408200304600020423344109d092a39cd00p0eu>
May 4 10:26:52 zeus postfix/smtpd[194655]: disconnect from unknown[54.240.1.143] ehlo=2 starttls=1 mail=1 rcpt=0/1 rset=1 quit=1 commands=6/7

Logge ich mich per Webmail ein und versende eine Nachricht, erhalte ich ebenfalls ein Warning zum SNI

May 4 12:20:57 zeus postfix/submission/smtpd[3862]: connect from localhost.localdomain[127.0.0.1]
May 4 12:20:57 zeus postfix/submission/smtpd[3862]: warning: TLS SNI from localhost.localdomain[127.0.0.1] is invalid: 127.0.0.1
May 4 12:20:57 zeus postfix/submission/smtpd[3862]: warning: TLS SNI from localhost.localdomain[127.0.0.1] is invalid: 127.0.0.1
May 4 12:20:57 zeus postfix/submission/smtpd[3862]: 79BF4C0F68: client=localhost.localdomain[127.0.0.1], sasl_method=LOGIN, sasl_username=info@nieland.io
May 4 12:20:57 zeus postfix/cleanup[3840]: 79BF4C0F68: message-id=<c48d987e388a9cbceb1e62c6386b694a@nieland.io>
May 4 12:20:57 zeus postfix/qmgr[1190]: 79BF4C0F68: from=<info@nieland.io>, size=1018, nrcpt=1 (queue active)
May 4 12:20:57 zeus postfix/submission/smtpd[3862]: disconnect from localhost.localdomain[127.0.0.1] ehlo=2 starttls=1 auth=1 mail=1 rcpt=1 data=1 quit=1 commands=8
May 4 12:20:57 zeus dovecot: imap-login: Login: user=<info@nieland.io>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, mpid=3931, TLS, session=<gZsu+yze9JJ/AAAB>
May 4 12:20:57 zeus dovecot: imap(info@nieland.io)<3931><gZsu+yze9JJ/AAAB>: Logged out in=936 out=1135

[Florian]

Hallo,

Problem 1: ja offenbar verwendet der andere Mailserver eine ältere TLS/SSL Version

Problem 2: RCPT from unknown[54.240.1.143]: 450 4.7.25 Client host rejected: cannot find your hostname, [54.240.1.143];

Hier würde ich mal testen, dass die DNS Auflösung auf dem Server funktioniert denn die IP hat einen korrekten R-DNS:

host 54.240.1.70
70.1.240.54.in-addr.arpa domain name pointer a1-70.smtp-out.eu-west-1.amazonses.com.

host a1-70.smtp-out.eu-west-1.amazonses.com
a1-70.smtp-out.eu-west-1.amazonses.com has address 54.240.1.70


Problem 3: kann ignoriert werden

[Henning]

Hallo,

Problem 1: ja offenbar verwendet der andere Mailserver eine ältere TLS/SSL Version

Problem 2: RCPT from unknown[54.240.1.143]: 450 4.7.25 Client host rejected: cannot find your hostname, [54.240.1.143];

Hier würde ich mal testen, dass die DNS Auflösung auf dem Server funktioniert denn die IP hat einen korrekten R-DNS:

host 54.240.1.70
70.1.240.54.in-addr.arpa domain name pointer a1-70.smtp-out.eu-west-1.amazonses.com.

host a1-70.smtp-out.eu-west-1.amazonses.com
a1-70.smtp-out.eu-west-1.amazonses.com has address 54.240.1.70


Problem 3: kann ignoriert werden

Hallo Florian,

danke für deine Antworten.

Problem 1 stellt aber kein Problem bei der Mailzustellung dar oder muss ich bei der Version meinerseits liberaler werden?

Problem 2 ist mit der DNS Auflösung bei mir auf dem Server zu suchen oder ist es eine Sache, die Amazon bei sich richten müsste? Falls bei mir die Problematik zu erledigen ist, wie kann ich da am besten verfahren ?

Problem 3 alles klar, danke. Dachte erst an eine falsch konfigurierte hostname Datei.

[Florian]

Hallo,

du bekommst halt keine Mails von Servern die veraltete Protokolle nutzen. Du kannst dies im Keyhelp (TLS-Version & -Ciphers) natürlich ändern, die Frage ist aber, ob man wirklich von solchen Servern haben will.

Die DNS Auflösung auf Deinem Server scheint nicht korrekt bzw. zuverlässig zu funktionieren. Hier mal ggf. die Resolver in der /etc/resolv.conf prüfen. Amazon hat den korrekten R-DNS gesetzt.

[Henning]

Die DNS Auflösung auf Deinem Server scheint nicht korrekt bzw. zuverlässig zu funktionieren. Hier mal ggf. die Resolver in der /etc/resolv.conf prüfen. Amazon hat den korrekten R-DNS gesetzt.

Dort finde ich dann folgenden Eintrag vor:

nameserver 127.0.0.53
options edns0 trust-ad
search .

resolvectl status ergibt

root@zeus:/etc# resolvectl status
Global
Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=allow-downgrade/supported
resolv.conf mode: stub
Current DNS Server: 46.38.225.230
DNS Servers: 46.38.225.230 46.38.252.230 2a03:4000:0:1::e1e6 2a03:4000:8000::fce6

Link 2 (eth0)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=allow-downgrade/supported

Die Abfragen per host ergeben

root@zeus:~# host 54.240.1.70
Host 70.1.240.54.in-addr.arpa not found: 2(SERVFAIL)
root@zeus:~# host a1-70.smtp-out.eu-west-1.amazonses.com
a1-70.smtp-out.eu-west-1.amazonses.com has address 54.240.1.70

[Florian]

Hallo,

46.38.225.230 und 46.38.252.230, das sind doch wieder unsere freundlichen Netcup DNS Server wenn ich mich nicht irre. Wir hatten das Thema vor kurzem scho mal, dass diese nicht zuverlässig funktionieren.

Ich empfehle hier andere Resolver zu nutzen

[Henning]

Okay, gibt es dazu schon einen Thread mit einer adäquaten Lösung?

[Florian]

Hallo,

in dem Thread ging es darum:

viewtopic.php?t=11292

Lösung ist einfach die genutzten Nameserver ändern und andere nutzen, nur als Beispiel 8.8.8.8, 9.9.9.9, 1.1.1.1 usw. Da Keyhelp ja eh einen Bind-Nameserver installiert, kannst du auch deine eigene IP bzw. 127.0.0.1 testen.

Ich persönliche mache da kurzen Prozess und lösche die resolv.conf, erstelle die neu und trage die Nameserver ein. Ich verstehe bis heute nicht warum man dafür einen Dienst eingeführt hat.

Wenn du resolvectl weiter nutzen willst, musst du das gemäß der Anleitung für den Dienst machen.

[Henning]

Soll heißen, ich tausche in der Datei resolv.conf die IP Adresse 127.0.0.53 durch 127.0.0.1 aus? Das ist dann schon die mögliche, einfache Lösung für mein derzeitiges Problem? Ich kann mir das kaum vorstellen :/

[Florian]

Hallo,

wenn du es nur in der Datei ändert wird sie früher oder später wieder vom Dienst resolvconf überschrieben.

Daher musst du es wie von dem Dienst vorgesehen ändern. Dazu sollten sich Anleitungen finden lassen.

Wie gesagt ich mach kurzen Prozess und lösche die Datei und lege sie neu an. Dann wird sie nicht mehr verändert. Aber das muss jeder selber entscheiden. Das kann ja auch vom System und/oder der Virtualisierung abhängen.

[24unix]

wenn du es nur in der Datei ändert wird sie früher oder später wieder vom Dienst resolvconf überschrieben.

Man kann den Dienst auch einfach deaktivieren.
Oder deaktivieren und maskieren.

[tab-kh]

Bei mir hat es, ausgehend vom netcup Debian 11 Minimal-Image, völlig genügt, in der Datei /etc/systemd/resolved.conf meine gewünschten Änderungen einzutragen.

[Florian]

Ja viele Wege führen nach Rom, wie immer

[Henning]

Bei mir hat es, ausgehend vom netcup Debian 11 Minimal-Image, völlig genügt, in der Datei /etc/systemd/resolved.conf meine gewünschten Änderungen einzutragen.

Wäre es möglich, mir diese hier einmal darzustellen?

[Jolinar]

Wäre es möglich, mir diese hier einmal darzustellen?

https://www.google.de/search?q=debian+1 ... onf+ändern