KeyHelp Community

Direkt vom Standort, wo auch die EMA ist:

telnet hyperbrain.hahnefeld.it 465
Trying 2001:8d8:1800:816c::1...
Connected to hyperbrain.hahnefeld.it.
Escape character is '^]'.

Oder habe ich noch etwas übersehen?

Es muss doch ein Grund geben, warum früher auch nur WEB.de, T-Online usw. gingen. Irgendetwas müssen doch diese Anbieter anders haben, als der Standard ist.

Diese Infos hat wohl Lupus mal mit raus gegeben:

--
gmx und web gehen nicht mit der xt1

original Lupus info:
E-Mail: TLS Unterstützung (1und1, Web.de und gmx werden nicht unterstütztAt

bei t-online wäre es dann

securesmtp.t-online.de
Port:
465
Benutzer:
xxxxx@t-online.de
Passwort:
xxxxx
Absenderadresse:
xxxx@t-online.de
Der Server verwendet eine sichere Verbindung (SSL) x
--

Hallo,

ich vermute dass die Software nur TLS 1.0 kann. Also diese TLS-Version mal im Keyhelp aktivieren mit dieser Cipherliste:

ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-CHACHA20-POLY1305
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES256-SHA
DHE-RSA-AES128-SHA256
DHE-RSA-AES256-SHA256
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA256
AES128-SHA
AES256-SHA
DES-CBC3-SHA

Don't know if this helps, but it might.

They decided to stop using low encrytion, but you can change it yourself.

First run: openssl version -d
To find the config file called openssl.cnf (usualy in /etc/ssl but sometimes different)

Now open this file and look at the bottom, it says:
Typical TSLv1.2 is fine, not seen anything below it yet.
However the DEFAULT@SECLEVEL=2 is recent and fails with a lot of systems, you may want to change it into 1

It can use less secure keys, if they run old software it could be a problem when your keys are too new and more complex.

You may need to reboot to make it work.

This has been changed recently, and providers often run old stuff, it may work for you. If not, just reverse it back.

Florian wrote: ↑Fri 2. Sep 2022, 16:22 Hallo,

ich vermute dass die Software nur TLS 1.0 kann. Also diese TLS-Version mal im Keyhelp aktivieren mit dieser Cipherliste:

ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-CHACHA20-POLY1305
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES256-SHA
DHE-RSA-AES128-SHA256
DHE-RSA-AES256-SHA256
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA256
AES128-SHA
AES256-SHA
DES-CBC3-SHA

Aber damit würde ich erhebliche Sicherheitsrisiken für den Webserver eingehen?

Florian wrote: ↑Fri 2. Sep 2022, 16:22 Hallo,

ich vermute dass die Software nur TLS 1.0 kann. Also diese TLS-Version mal im Keyhelp aktivieren mit dieser Cipherliste:

ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-CHACHA20-POLY1305
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES256-SHA
DHE-RSA-AES128-SHA256
DHE-RSA-AES256-SHA256
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA256
AES128-SHA
AES256-SHA
DES-CBC3-SHA

Also ich habe es ausgetestet:
1. Benutzerdefinierte Konfiguration
2. TLS 1
3. deine TLS-Ciphers

Sogar den Server noch neu gestartet. Aber gleiches Ergebnis. Mails können nicht verschickt werden - leider!!!

goldene-zeiten wrote: ↑Fri 2. Sep 2022, 16:52
Also ich habe es ausgetestet:
1. Benutzerdefinierte Konfiguration
2. TLS 1
3. deine TLS-Ciphers

Sogar den Server noch neu gestartet. Aber gleiches Ergebnis. Mails können nicht verschickt werden - leider!!!

poste mal dein /var/log/mail.log

BasHeijermans wrote: ↑Fri 2. Sep 2022, 16:36 Don't know if this helps, but it might.

They decided to stop using low encrytion, but you can change it yourself.

First run: openssl version -d
To find the config file called openssl.cnf (usualy in /etc/ssl but sometimes different)

Now open this file and look at the bottom, it says:

Code: Select all

[system_default_sect]
MinProtocol = TLSv1.2
CipherString = DEFAULT@SECLEVEL=2

Typical TSLv1.2 is fine, not seen anything below it yet.
However the DEFAULT@SECLEVEL=2 is recent and fails with a lot of systems, you may want to change it into 1

It can use less secure keys, if they run old software it could be a problem when your keys are too new and more complex.

You may need to reboot to make it work.

This has been changed recently, and providers often run old stuff, it may work for you. If not, just reverse it back.

root@hyperbrain:/# openssl version -d
OPENSSLDIR: "/usr/lib/ssl"

./etc/ssl/openssl.cnf
./usr/lib/ssl/openssl.cnf

But in both files the section you are writing is not there. Nothing of this three lines...

Hi,

also TLS 1.0 ist aber momentan nicht aktiv auf Deinem Server:

openssl s_client -connect hyperbrain.hahnefeld.it:25 -starttls smtp -tls1
CONNECTED(00000003)
139883118319272:error:1409442E:SSL routines:SSL3_READ_BYTES:tlsv1 alert protocol version:s3_pkt.c:1315:SSL alert number 70
139883118319272:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:637:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 263 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1662134767
Timeout : 7200 (sec)
Verify return code: 0 (ok)

Ich habe es mal auf einem Ubuntu 20 Server getestet. Hier reicht es eigentlich die Einstellungen im Keyhelp zu machen damit der Postfix TLS 1.0 akzeptiert. Änderungen an der openssl.cnf sind nicht nötig.

Florian wrote: ↑Fri 2. Sep 2022, 18:08 But in both files the section you are writing is not there. Nothing of this three lines...

Did you try to add the lines? Maybe they are missing because of the defaults.
Add them and see what happens.

Florian wrote: ↑Fri 2. Sep 2022, 18:08 Hi,

also TLS 1.0 ist aber momentan nicht aktiv auf Deinem Server:

openssl s_client -connect hyperbrain.hahnefeld.it:25 -starttls smtp -tls1
CONNECTED(00000003)
139883118319272:error:1409442E:SSL routines:SSL3_READ_BYTES:tlsv1 alert protocol version:s3_pkt.c:1315:SSL alert number 70
139883118319272:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:637:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 263 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1662134767
Timeout : 7200 (sec)
Verify return code: 0 (ok)

Ich habe es mal auf einem Ubuntu 20 Server getestet. Hier reicht es eigentlich die Einstellungen im Keyhelp zu machen damit der Postfix TLS 1.0 akzeptiert. Änderungen an der openssl.cnf sind nicht nötig.

Hallo Florian, ja das ist richtig! Ich habe die Änderungen wieder rückgängig gemacht, nachdem kein Erfolg zu vermelden war. Zudem habe ich große Sorgen, dass ich mit Version 1.0 mir eventuell Sicherheitslücken auftue und das möchte ich natürlich eigentlich vermeiden. Natürlich kann ich die Änderung jederzeit wieder auf Version 1.0 zurücksetzen. Liebe Grüße von Björn

Florian wrote: ↑Fri 2. Sep 2022, 18:08 Hi,

also TLS 1.0 ist aber momentan nicht aktiv auf Deinem Server:

openssl s_client -connect hyperbrain.hahnefeld.it:25 -starttls smtp -tls1
CONNECTED(00000003)
139883118319272:error:1409442E:SSL routines:SSL3_READ_BYTES:tlsv1 alert protocol version:s3_pkt.c:1315:SSL alert number 70
139883118319272:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:637:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 263 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1662134767
Timeout : 7200 (sec)
Verify return code: 0 (ok)

Ich habe es mal auf einem Ubuntu 20 Server getestet. Hier reicht es eigentlich die Einstellungen im Keyhelp zu machen damit der Postfix TLS 1.0 akzeptiert. Änderungen an der openssl.cnf sind nicht nötig.

Nun aber ist Version 1.0 aktiv :)

Und hier nun der relevante Teil von /var/log/mail.info:

--
Sep 2 20:48:44 hyperbrain postfix/smtps/smtpd[20498]: connect from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244]
Sep 2 20:48:45 hyperbrain postfix/smtps/smtpd[20498]: TLS SNI hyperbrain.hahnefeld.it from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244] not matched, using default chain
Sep 2 20:49:01 hyperbrain postfix/smtps/smtpd[20498]: B027C1062927: client=dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244], sasl_method=LOGIN, sasl_username=info@goldene-zeiten.info
Sep 2 20:49:01 hyperbrain postsrsd[20505]: srs_forward: <regensburg@goldene-zeiten.info> rewritten as <SRS0=pySb=ZF=goldene-zeiten.info=regensburg@hahnefeld.it>
Sep 2 20:49:01 hyperbrain postfix/smtps/smtpd[20498]: B027C1062927: reject: RCPT from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244]: 550 5.1.1 <de>: Recipient address rejected: User unknown in local recipient table; from=<regensburg@goldene-zeiten.info> to=<de> proto=ESMTP helo=<goldene-zeiten.info>
Sep 2 20:49:02 hyperbrain postfix/smtps/smtpd[20498]: lost connection after RCPT from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244]
Sep 2 20:49:02 hyperbrain postfix/smtps/smtpd[20498]: disconnect from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244] ehlo=1 auth=1 mail=1 rcpt=1/2 commands=4/5
--

Wenn ich auf den Standard 1.2 zurückstelle (was mir natürlich auch lieber wäre), dann deutet alles darauf hin, dass die Kommunikation platzt:
--
Sep 2 20:56:46 hyperbrain postfix/smtps/smtpd[21920]: SSL_accept error from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244]: -1
Sep 2 20:56:46 hyperbrain postfix/smtps/smtpd[21920]: warning: TLS library problem: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol:../ssl/statem/statem_srvr.c:1685:
Sep 2 20:56:46 hyperbrain postfix/smtps/smtpd[21920]: lost connection after CONNECT from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244]
Sep 2 20:56:46 hyperbrain postfix/smtps/smtpd[21920]: disconnect from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244] commands=0/0
Sep 2 20:57:07 hyperbrain postfix/smtps/smtpd[21920]: connect from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244]
Sep 2 20:57:08 hyperbrain postfix/smtps/smtpd[21920]: SSL_accept error from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244]: -1
Sep 2 20:57:08 hyperbrain postfix/smtps/smtpd[21920]: warning: TLS library problem: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol:../ssl/statem/statem_srvr.c:1685:
Sep 2 20:57:08 hyperbrain postfix/smtps/smtpd[21920]: lost connection after CONNECT from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244]
Sep 2 20:57:08 hyperbrain postfix/smtps/smtpd[21920]: disconnect from dynamic-077-004-111-244.77.4.pool.telefonica.de[77.4.111.244] commands=0/0
--

Also mit der TLS-Geschichte scheinen wir zumindest nah dran zu sein...

Ich hoffe du weisst was du tust.