Hallo,
ich betreibe eigentlich schon länger privat eine Mailkuh, allerdings sind meine Kenntnisse eher oberflächlich, da die Kuh von Anfang an recht unkompliziert das machte was sie sollte.
In der Vergangenheit hattte ich den externen Mailversand über einen Relay Server (Strato) laufen lassen.
Dies wollte ich nun auf Direktversand umstellen. Dazu habe ich in der Domain unter Transport Maps “keine Auswahl/Erben” ausgewählt.
Allerdings verweigert mir Postfix nun den Versand der Mails mit einem TLS Handshake Fehler.
Ich habe schon diverse Dinge in der extra.cf ausprobiert (Zwingen von TLS1.2 und höher) Was glaube ich aber schon standardmäßig aktiv war. Auch habe ich im Postfach TLS erzwingen aktiviert… allerdings ohne Erfolg.
Die MTU Size habe ich auch auf 1450 reduziert (Aus Verzweifelung) und meine Zertifikarte komplett gelöscht und neu erstellen lassen. (ACME) All das hat kein Erfolg gebracht.

Zur Info, ich betreibe die Kuh auf Ubuntu 22.04 (Im Winter von einer älteren Ubuntu Version migriert) und Mailcow ist auf dem neusten Stand.
Was könnte das Problem sein?

Hier mal ein Logauszug….

Jun 28 07:57:55 postfix/smtp[384]: SSL_connect:SSLv3/TLS write client hello
Jun 28 07:57:55 postfix/smtp[384]: read from 55DEC9C6B800 [55DEC9D78EF3] (5 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Jun 28 07:57:55 postfix/smtp[384]: read from 55DEC9C6B800 [55DEC9D78EF3] (5 bytes => 5 (0x5))
Jun 28 07:57:55 postfix/smtp[384]: 0000 32 32 30 20 6d 220 m
Jun 28 07:57:55 postfix/tlsmgr[378]: delete smtp session id=smtp&gmail.com&gmail-smtp-in.l.google.com&64.233.167.26&&10FF4B7825412CB31B211F515B793762F12A836796BAA13AFABF4D9E0F5BB7C2
Jun 28 07:57:55 postfix/smtp[384]: SSL_connect:error in error
Jun 28 07:57:55 postfix/smtp[384]: SSL_connect error to gmail-smtp-in.l.google.com[64.233.167.26]:25: -1
Jun 28 07:57:55 postfix/smtp[384]: warning: TLS library problem: error:1408F10B:SSL routines:ssl3_get_record:wrong version number:../ssl/record/ssl3_record.c:331:
Jun 28 07:57:55 postfix/smtp[384]: remove session smtp&gmail.com&gmail-smtp-in.l.google.com&64.233.167.26&&10FF4B7825412CB31B211F515B793762F12A836796BAA13AFABF4D9E0F5BB7C2 from client cache
Jun 28 07:57:55 postfix/smtp[384]: 56F7C30078E: Cannot start TLS: handshake failure
Jun 28 07:57:55 postfix/tlsmgr[378]: lookup smtp session id=smtp&gmail.com&alt1.gmail-smtp-in.l.google.com&142.250.153.27&&10FF4B7825412CB31B211F515B793762F12A836796BAA13AFABF4D9E0F5BB7C2
Jun 28 07:57:55 postfix/smtp[384]: setting up TLS connection to alt1.gmail-smtp-in.l.google.com[142.250.153.27]:25
Jun 28 07:57:55 postfix/smtp[384]: alt1.gmail-smtp-in.l.google.com[142.250.153.27]:25: TLS cipher list "aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH:!eNULL"

  • Danke für die Antwort.
    Ich habe das Problem gefunden. Wer lesen kann ist besser dran 🙂
    "Bitte keine “TLS-wrapped Ports” verwenden (etwa SMTPS via Port 465/tcp)." Steht dick und fett unter der Hosteingabe des Relayhosts.
    Da hatte ich vor Jahren wohl nicht darauf geachtet und da Strato in seiner KnowledgeBase den Port 465 angegeben hatte (587 steht im kleingedruckten darunter), habe ich auch diesen verwendet. Ich musste dann wohl auch diesen Wrapper Mode und Enycrypt reinfummeln.
    Ich hab mir damals keine Gedanken gemacht, da es ja lief und ich keinen Direkversand anstrebte.
    Jedenfalls habe ich den Strato Server jetzt auf 587 umgestellt und nun läuft beides.

    Vielen Dank noch für die Unterstützung.

  • esackbauer

    • Community Hero
    Moolevel 346
  • Post #2
  • This post is in German

Wozu in der Konfig Datei rumwurschteln wenn man das übers GUI einstellen kann?
Was ist unter dem Reiter TLS-Richtlinien eingetragen?
Vermutlich ist nun alles verbogen und es wird schwierig das Problem einzugrenzen.

    Have something to say?

    Join the community by quickly registering to participate in this discussion. We'd like to see you joining our great moo-community!

    esackbauer
    Hi,
    erstmal danke für die Rückmeldung.
    Es ist, zumindest für mich, keine Hürde die TLS Spezifika in der extra.cf auszukommentieren. Was ich auch wieder getan habe.
    Unter TLS-Richtlinien stehen momentan nur zwei spezifische Einträge für die Strato und Ionos Relay Server.
    VG

      So ich bin mittlerweile schlauer geworden.

      Es existiert ein Zusammenhang zwischen meinem Problem und meinen Relayservern.
      Ich habe auf die schnelle eine neue Kuh aufgesetzt und dort konnte ich ohne Probleme direkt Mails versenden.
      Daraufhin habe ich beide main.cf vergelichen und konnte einen Unterschied feststellen.

      Der Punk “smtp_tls_wrappermode = yes” verursacht mein Problem beim Direktversand, allerdings läuft ohne diesen Eintrag mein Relayserver nicht mehr (Strato).

      Ob ich das vor Jahren selbst reingefummelt habe, kann ich nicht mehr beantworten.
      Meine Frage, gibts eine Lösung für das Problem, ohne auf eins der beiden Methoden zu verzichten?

      VG
      Rubinho

        • esackbauer

          • Community Hero
          Moolevel 346
        • Post #5
        • Edited
        • This post is in German

        rubinho
        Vermutlich hast du dann auch smtp_tls_security_level = encrypt gesetzt, mit erzwungener Verschlüsselung. Weil sonst der Parameter “smtp_tls_wrappermode" gar nicht verwendet wird. Und damit bekommst du bei Direktversand u.U. Probleme, wenn der empfangende Server erst Klartext haben will und dann erst mit STARTTLS auf Verschlüsselung umschaltet.

        Der default von Mailcow ist smtp_tls_security_level = dane, und da ist Verschlüsselung opportunistisch und nicht erzwungen.
        Warum der Stratoserver dann nicht mehr läuft kann ich dir nicht sagen, da müsstest du die entsprechenden Logs mal posten.

          Danke für die Antwort.
          Ich habe das Problem gefunden. Wer lesen kann ist besser dran 🙂
          "Bitte keine “TLS-wrapped Ports” verwenden (etwa SMTPS via Port 465/tcp)." Steht dick und fett unter der Hosteingabe des Relayhosts.
          Da hatte ich vor Jahren wohl nicht darauf geachtet und da Strato in seiner KnowledgeBase den Port 465 angegeben hatte (587 steht im kleingedruckten darunter), habe ich auch diesen verwendet. Ich musste dann wohl auch diesen Wrapper Mode und Enycrypt reinfummeln.
          Ich hab mir damals keine Gedanken gemacht, da es ja lief und ich keinen Direkversand anstrebte.
          Jedenfalls habe ich den Strato Server jetzt auf 587 umgestellt und nun läuft beides.

          Vielen Dank noch für die Unterstützung.

          9 months later

          Hallo.
          Greife die Thematik auch mal auf. Da ich nun meinen Server zu Hause auf meiner Hardware betrieben mag, muss ich ausgehend nun natürlich einen Smarthost verwenden. Habe diesen auch gefunden und vorher geklärt, dass das klappt. Leider habe ich hier aber nun das Problem, dass der Server des Anbieters keine Authentifizierung auf Port 25 zulässt, sondern ich hier Port 465 und SL/TLs nutzen muss. Leider bekomme ich es nicht hin oder stell mich zu blöd an. Was muss ich hier einstellen, dass für die Mails ausgehend (Sender Based Routing / Senderabhängige Transport Maps) Port 465 und SSL/TLS genutzt wird. Habe auch schon mit den Richtlinien “rumprobiert” ohne Erfolg?

          Danke im Voraus.

          MfG

          Ergänzung:
          Ja, es geht bei mir konkret jetzt nicht um Direktversand, sondern um Versand per Smarthost, der offensichtlich keine Mails / Authentifizierung über Port 25 zulässt.

          • esackbauer

            • Community Hero
            Moolevel 346
          • Post #8
          • Edited
          • This post is in German

          Dann fürchte ich musst du dir einen anderen Smarthost suchen. Dort wo man die konfiguriert unter “Senderabhängige Transport Maps” steht explizit:
          "Der Transporttyp lautet immer “smtp:”, verwendet TLS wenn angeboten und unterstützt kein wrapped TLS (SMTPS). "
          d.h. es wird nur STARTTLS über eine zuvor unverschlüsselte Verbindung unterstützt, z.b. Port 25 oder 587

          3 months later

          Hallo, ich habe meinen Mailserver zu Hause laufen und per WireGuard ist es mit einem 1 € Strato Server verbunden, ich habe nun folgende Meldungen erhalten:

          iphmx.com[68.232.148.129] said: 550
          #5.7.1 Your access to submit messages to this e-mail system has been
          rejected. (in reply to DATA command)

          und bei GMX @gmx.de>: Cannot start TLS: handshake failure

          ich habe es nach der Anleitung: chucklessducks/VPS-Wireguard-Nginx-Mailcow gemacht.

          Freue mich über eure Hilfe.

          Ich habe es letztlich über Smarthost bei Allinkl gelöst (nutze also deren SMTP für den Versand) und habe auch deren DDNS in meiner Fritte eingerichtet und somit geht der MX, als auch IMAP und SMTP für die Clients direkt über die Fritte zu meiner Firewall VM dann an die Mailkuh. War für mich dann die beste Lösung und arbeitet nun schon gut 2 oder 3 Monate problemlos. Das mit VPN hatte ich nicht ganz so gut hinbekommen bzw. ist im Vergleich sogar teurer, weil viele Anbieter mit so kleinen VPS gibt es nicht mehr und einige blocken Port 25 erstmal…

          Aber eigentlich sollte das mit VPS gehen.
          Hast für den VPS auch RDNS korrekt gesetzt?
          Passen die Portfreigaben und ist Mit dem Zertifikat auch alles korrekt?

          MfG

          No one is typing