Hallo, ich kann keine E-Mails mehr von GMX empfangen seit Kurzem. Von Google und anderen Anbietern ohne Probleme. Ich habe nur die Zertifikate vorgestern aktualisiert, sind aber die gleichen wie vorher (Wildcard).

Log sagt:
lost connection after STARTTLS from mout.gmx.net[212.227.17.22]
warning **warning: TLS library problem: error:0A00042F:SSL routines::tlsv1 alert insufficient security:../ssl/record/rec_layer_s3.c:1605:SSL alert number 71:**
Anonymous TLS connection established from mout.gmx.net[212.227.17.22]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange ECDHE (prime256v1) server-signature ECDSA (prime256v1) server-digest SHA256

Hat da Jemand einen heißen Tipp für mich?

  • Ursache gefunden: mein TLSA war falsch durch die neuen Zertifikate, kann mir das Jemand erklären? Ist nicht das erste Mal dass die erneuert wurden.
    Ich habe sie vorher vom NPM Docker bezogen und nun von von einer anderen VM mit Nginx & Certbot.

    @DocFraggle nein

Error 71 bedeutet

Returned instead of handshake_failure when a negotiation has failed specifically because the server requires ciphers more secure than those supported by the client. This message always indicates an unrecoverable error.

Hast Du Deine Cipher manuell angepasst?

Have something to say?

Join the community by quickly registering to participate in this discussion. We'd like to see you joining our great moo-community!

Ursache gefunden: mein TLSA war falsch durch die neuen Zertifikate, kann mir das Jemand erklären? Ist nicht das erste Mal dass die erneuert wurden.
Ich habe sie vorher vom NPM Docker bezogen und nun von von einer anderen VM mit Nginx & Certbot.

@DocFraggle nein

P.S. ich habe gelernt, dass eine Zertifikatsverlängerung etwas anderes ist, als wenn man sich ein Zertifikat neu ausstellen lässt, so wie ich, der den Dienst gewechselt hat. Certbot hat mein Wildcard Zertifikat also neu bestellt.

Bei einer Verlängerung bleibt der Hash Wert des Zertifikats gleich. Mailcow zeigt den richtigen TLSA “25.tcp.mail” Wert bzw. dass der aktuell bei mir falsch ist an, man braucht nur unter “Domain” -> DNS schauen.

Was ich nicht wusste: GMX meldet beim Versender keinen Fehler der Zustellung o.ä., nach Korrektur des TLSA Wertes trudeln dann die über 24h alten E-Mails bei mir doch noch ein.

No one is typing