Kein E-Mail-Versand über STARTTLS mehr möglich

[natZONE]

Hallo, mir scheint, es gibt ein Kompatibilitätsproblem zwischen der neuen GNUTLS-Library auf meinem dedizierten Server und der in der JTL-wawi implementierten Mail-Funktion. Wenn ich über 'STARTTLS-Verschlüsselung ohne Zertifikatsprüfung' über Port 587 eine Mail verschicken will, was bis vor zwei Wochen vor meinem Server-Update noch funktoniert hat, erhalte ich über die Wawi folgendes Fehlerprotokoll:

 Unbehandelte Ausnahme #27934C4F7CAB42EB vom Typ Limilabs.Client.ServerException in System.Net.Security.SslStream (System.IO.Stream): Authenticate as SSL client failed. You might be connecting to non SSL port. URL: = fakestarttls://info@example.mail.de:********************************@smtp.example.mail.de:587  Unbehandelte Ausnahme #A770380D3E0151C vom Typ System.IO.IOException in Int32 Read(Byte[], Int32, Int32): Von der Übertragungsverbindung können keine Daten gelesen werden: Eine vorhandene Verbindung wurde vom Remotehost geschlossen.  Unbehandelte Ausnahme #362A58B8E98F02B6 vom Typ System.Net.Sockets.SocketException in Int32 Receive(Byte[], Int32, Int32, System.Net.Sockets.SocketFlags): Eine vorhandene Verbindung wurde vom Remotehost geschlossen.

Auf meinem Server erhälte ich in der mail. log folgende Fehlermeldung:

 Jun 15 12:25:25 srv postfix/submission/smtpd[14484]: connect from unknown[]  Jun 15 12:25:25 srv postfix/submission/smtpd[14484]: SSL_accept error from unknown[]: -1  Jun 15 12:25:25 srv postfix/submission/smtpd[14484]: warning: TLS library problem: 14484:error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown  Jun 15 12:25:25 srv postfix/submission/smtpd[14484]: lost connection after STARTTLS from unknown[]  Jun 15 12:25:25 srv postfix/submission/smtpd[14484]: disconnect from unknown[]

Über Mailclients wie Outlook oder Mozilla Thunderbird kann ich aber ganz normal weiterhin mit meinem Server Mails versenden. Das bedeutet de facto, dass die aktuelle JTL-wawi nicht mehr kompatibel ist zu den aktuellen Sicherheitsupdates von GNUTLS.

 

[reneromann]

AW: Kein E-Mail-Versand über STARTTLS mehr möglich

Na ja - dein Server schmeißt dir den Fehler, dass bei ihm ein "TLS library problem" aufgetreten ist. Heißt also, dass das Problem eher bei GNUTLS zu suchen ist als bei der Wawi...

 

[natZONE]

AW: Kein E-Mail-Versand über STARTTLS mehr möglich

Es bedeutet, dass die Wawi, wie ich schon schrieb, nicht mehr kompatibel zu der um Sicherheitspatches aktualisierten TLS Bibliothek ist, denn vorher funktionierte es ja. Ich kann schlecht auf meinem Server mit einer für Sicherheitslecks anfälligen TLS agieren. Das Problem ist also tatsächlich die Wawi, weil diese weiterhin die alte TLS Library unterstützt.

 

[reneromann]

AW: Kein E-Mail-Versand über STARTTLS mehr möglich

Warum sollte die Wawi ein Problem sein, wenn deine TLS-Bibliothek meldet, dass SIE ein Problem hat?
Dein Server meldet:

Jun 15 12:25:25 srv postfix/submission/smtpd[14484]: warning: TLS library problem: 14484:error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown

Tante Google liefert mir beispielsweise folgenden Verweis:
Thunderbird Mails senden: TLS library problem - Howtoforge Forum

Da wird das Problem durch eine fehlerhafte Konfiguration von Postfix verursacht...
Und genau da wäre auch der Ansatzpunkt für dich: Wenn du eine Bibliothek auf dem Server updatest, solltest du auch schauen, ob die Konfiguration angepasst werden muss!

Weiterhin wäre auch denkbar, dass du ein Zertifikat für TLS benutzt, welches nicht auf GENAU DIE Domain ausgestellt ist, mit der du dich verbindest (bspw. CN des Zertifikates auf www.domain ausgestellt, während du als Mailserver mail.domain verwendest) -oder- dein Zertifikat ist selbsterstellt. In beiden Fällen kommt es bei der Verifizierung auf Clientseite zum Problem, dass das Zertifikat abgelehnt wird.

 

[natZONE]

AW: Kein E-Mail-Versand über STARTTLS mehr möglich

Ich brauche meinen Postfix-Mail-Server nicht umzukonfigurieren, wenn ich die GNUTLS-Library update. Im übrigen habe ich keine Probleme, über meinen Server per Thunderbird Mails zu versenden und zu empfangen. Ich habe auch kein Problem mit meinem Zertifikat, dieses ist noch bis 2016 gültig, und es hat vor dem TLS-Update funktioniert. Mein Zertifkat ist exakt auf meine Domain gemünzt, sowohl mit als auch ohne www. Nach einem GNUTLS-Sicherheits-Update brauchen keinerlei Konfigurationsdateien geändert zu werden. Das Problem ist die Wawi, weil diese intern noch die alte unsichere TLS-Bibliothek implementiert hat, wahrscheinlich über das .NET Framework. Das Problem wird also nicht über "eine fehlerhafte Konfiguration von Postfix verursacht", wie du vermutest, allein schon deswegen nicht, weil mein Postfix fehlerfrei Mails von anderen Mail-Servern annimmt und ich ohne Probleme weiterhin über Postfix Mails TLS verschlüsselt versenden kann. Ich kann nur nicht mehr über die Wawi Mails versenden, die ich über meine Domain verschicken will, so wie ich es vorher konnte.

 

[reneromann]

AW: Kein E-Mail-Versand über STARTTLS mehr möglich

Nur so: SMTP-Transfer zwischen Domains läuft i.d.R. OHNE TLS/SSL völlig unverschlüsselt ab.

Und eine "alte unsichere TLS-Bibliothek" gibt's innerhalb .NETs nicht. Entweder das Framework selbst ist nicht up-to-date ODER das Framework IST up-to-date.
Das Framework enthält u.a. auch die notwendige TLS/SSL-Funktionalität...

Und noch was: Wenn du behauptest, dass es ein Problem mit der .NET-Bibliothek ist, warum betrifft es dann einzig und allein deine Konfiguration und tritt nicht bei anderen auf?
Ich würde dir trotzdem raten, dass du deine Konfiguration prüfst und schaust, ob nicht DOCH irgendwelche Optionen (z.B. erlaubte SSL/TLS-Versionen, erlaubte Schlüssellängen) gibt, die die Verbindung seitens der Wawi unterbinden.
Zumal weitaus häufiger i.d.R. OpenSSL für diese Zwecke benutzt wird - vielleicht ist deine Konfiguration auch so exotisch, dass du einen Bug im "Bugfix" von GnuTLS gefunden hast.

Nachtrag: Wenn ich in dem Changelog schon lese, dass dort ein "Fehler beim Parsen der Hello-Nachricht" behoben wurde, dann könnte das vielleicht dein Ansatzpunkt sein.

 

[natZONE]

AW: Kein E-Mail-Versand über STARTTLS mehr möglich

Ich weiß, dass der SMTP-Transfer zwischen Domains in fast allen Fällen ohne TLS abläuft. Das läuft über Port 25, und da wird nix verschlüsselt. Mir ist nur nicht klar, was ein Austausch der GNUTLS-Library unter Ubuntu 12.04 LTS x64 mit meiner Postfix-Konfiguration zu tun haben soll. Postfix funktioniert im Mail-Versand einwandfrei, ich kann unter allen nur möglichen Clients über meinen Server über einen TLS-Handshake Mails versenden. Nur eben über die Wawi nicht mehr. Würde es etwas helfen, wenn ich hier meine /etc/postfix/main.cf poste? Den Changelog zum Fehler beim Parsen der HELLO-Nachricht schaue ich mir noch mal genauer an.

 

[natZONE]

AW: Kein E-Mail-Versand über STARTTLS mehr möglich

Ich habe den Fehler jetzt beseitigen können. Es liegt tatsächlich nicht an der JTL-wawi, sondern es lag an einer Fehlkonfiguration meines Postfix-Servers. In der main.cf hatte ich ursprünglich stehen

 smtpd_tls_mandatory_protocols = TLSv1.2

Tatsächlich hat dort aber zu stehen

 smtpd_tls_mandatory_protocols = TLSv1

Der Punkt und die Ziffer 2 in dieser Konfigurationsdatei haben dafür gesorgt, dass ich über die Wawi keine Mails versenden konnte. So unscheinbar und versteckt kann manchmal die Fehlerursache sein.