lost connection after CONNECT

konmil

Guten Tag,
ich habe hier eine mailcow-instanz (aktueller Patchstand) am Laufen. Ungefähr 30 Mailboxen und ebensoviele Clients/User die ohne erkennbare Fehler arbeiten. Jetzt versuche ich seit einiger Zeit die Nachrichten eines NAS Laufwerkes über diese mailcow-instanz zu versenden (an Port 465/SSL/mit auth) und scheitere mit o.g. Fehler. Laut Log wird der TLS handshake durchgeführt und ein session ticket ausgestellt dann sehr zeitnah vom NAS “aufgelegt”, zumindest sagt mir das ein Dump im Wireshark (TCP-RST). Anbei mal ein Log:

postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: connect from unknown[192.168.222.4] postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: setting up TLS connection from unknown[192.168.222.4] postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: unknown[192.168.222.4]: TLS cipher list "aNULL:-aNULL:HIGH:@STRENGTH:!ECDHE-RSA-RC4-SHA:!RC4:!aNULL:!DES-CBC3-SHA:!ECDHE-RSA-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA" postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: SSL_accept:before SSL initialization postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: SSL_accept:before SSL initialization postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: SSL_accept:SSLv3/TLS read client hello postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: SSL_accept:SSLv3/TLS write server hello postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: SSL_accept:SSLv3/TLS write change cipher spec postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: SSL_accept:TLSv1.3 write encrypted extensions postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: SSL_accept:SSLv3/TLS write certificate postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: SSL_accept:TLSv1.3 write server certificate verify postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: SSL_accept:SSLv3/TLS write finished postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: SSL_accept:TLSv1.3 early data postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: SSL_accept:TLSv1.3 early data postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: SSL_accept:SSLv3/TLS read finished postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: unknown[192.168.222.4]: Issuing session ticket, key expiration: 1770041726 postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: SSL_accept:SSLv3/TLS write session ticket postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: Anonymous TLS connection established from unknown[192.168.222.4]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256 postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: lost connection after CONNECT from unknown[192.168.222.4] postfix-mailcow-1 | Feb 2 14:45:58 c9c69a19f885 postfix/smtps/smtpd[373]: disconnect from unknown[192.168.222.4] commands=0/0

Erwähnenswert wäre dass das NAS in einem anderen Netz (per IPsec-Tunnel) ist, dieses jedoch in der “Weiterleitungs-Host” Liste OHNE Spamfilter eingetragen ist. Ein anderer Client aus diesem Netz hat keine Probleme Mails über die Kuh zu versenden. Testweise habe ich mal versucht GMX (mit entsprechendem User) als Mailversender zu nutzen, tja dummerweise geht das.
Auf dem NAS kann ich nicht großartig Diagnosen machen, ist zwar Linux-basiert, aber das meiste wird über irgendwelche cgi-Binaries gemacht, oder es fehlen Programme zum Testen. Habe mal sowohl den Versuch mit GMX als auch den mit der Kuh mitgeschnitten.
Irgendwelche Ideen wie man das herausbekommt an was es hapert. Achso es ist ein asustor fs6706t, ebenfalls aktuelle Firmware.

Danke und Grüße,
Stefan

Mailcow, geht leider nicht:

GMX geht:

esackbauer

Der User mit dem versendet wird hat eh kein 2FA aktiviert oder SSO? weil dann müsstest du ein App Passwort anlegen dafür.
Grundsätzlich ist die Idee eines Weiterleitungshost dass man eben keine authentifizierung braucht, weil die IP mit der er kommt ist die Authentifizierung.
Versuche es doch bitte mit SMTP port 25 und STARTTLS, ohne Authentifizierung.

konmil

Ahh, ein echter Wiener …

Danke für den Hinweis, nein der User hat kein 2FA und kein SSO, ist ein “normaler” Nutzer über LDAP angebunden.
Leider beendet das NAS sofort die Verbindung, so wie es scheint VOR einer Authentifizierung. Ich kann hier nur pauschal “SSL/TLS” anwählen und die Kuh sendet “550 5.7.1 Session encryption is required” wenn es nicht gewählt ist. Auch mit Port 25 ist das NAS offensichtlich nicht zufrieden:

ohne SSL:

postfix-mailcow-1 | Feb 3 11:31:27 c9c69a19f885 postfix/postscreen[4989]: CONNECT from [192.168.222.4]:51648 to [172.22.1.253]:25 postfix-mailcow-1 | Feb 3 11:31:27 c9c69a19f885 whitelist_forwardinghosts: Look up 192.168.222.4 on whitelist, result 200 PERMIT postfix-mailcow-1 | Feb 3 11:31:27 c9c69a19f885 postfix/postscreen[4989]: ALLOWLISTED [192.168.222.4]:51648 postfix-mailcow-1 | Feb 3 11:31:27 c9c69a19f885 postfix/smtpd[4998]: connect from unknown[192.168.222.4] postfix-mailcow-1 | Feb 3 11:31:28 c9c69a19f885 postfix/smtpd[4998]: NOQUEUE: reject: RCPT from unknown[192.168.222.4]: 550 5.7.1 Session encryption is required; from=<no-reply@xxxxxxxx.de> to=<log@xxxxxxxx.de> proto=ESMTP helo=<localhost> postfix-mailcow-1 | Feb 3 11:31:28 c9c69a19f885 postfix/smtpd[4998]: lost connection after DATA from unknown[192.168.222.4] postfix-mailcow-1 | Feb 3 11:31:28 c9c69a19f885 postfix/smtpd[4998]: disconnect from unknown[192.168.222.4] ehlo=1 mail=1 rcpt=0/1 data=0/1 commands=2/4

mit SSL/TLS:

postfix-mailcow-1 | Feb 3 11:33:15 c9c69a19f885 postfix/postscreen[5006]: CONNECT from [192.168.222.4]:32974 to [172.22.1.253]:25 postfix-mailcow-1 | Feb 3 11:33:15 c9c69a19f885 whitelist_forwardinghosts: Look up 192.168.222.4 on whitelist, result 200 PERMIT postfix-mailcow-1 | Feb 3 11:33:15 c9c69a19f885 postfix/postscreen[5006]: ALLOWLISTED [192.168.222.4]:32974 postfix-mailcow-1 | Feb 3 11:33:15 c9c69a19f885 postfix/smtpd[5012]: connect from unknown[192.168.222.4] postfix-mailcow-1 | Feb 3 11:33:15 c9c69a19f885 postfix/smtpd[5012]: Anonymous TLS connection established from unknown[192.168.222.4]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256 postfix-mailcow-1 | Feb 3 11:33:15 c9c69a19f885 postfix/smtpd[5012]: lost connection after STARTTLS from unknown[192.168.222.4] postfix-mailcow-1 | Feb 3 11:33:15 c9c69a19f885 postfix/smtpd[5012]: disconnect from unknown[192.168.222.4] ehlo=1 starttls=1 commands=2

Bin ein wenig ratlos. Hab auch keine “Sicherheitsprodukte” die dazwischen hängen und stören könnten.

Gruß,
Stefan

esackbauer

konmil ist ein “normaler” Nutzer über LDAP angebunden.

Also hat er doch ein SSO 😉

Hast du irgendwas an den TLS einstellungen im Mailcow/Postfix verändert? Normalerweise sollte keine Verschlüsselung auf Port 25 nötig sein, also eigentlich dürfte das reject: RCPT from unknown[192.168.222.4]: 550 5.7.1 Session encryption is required; gar nicht passieren.
Bzw. schickt der ASUSTOR kein STARTTLS.

Du könntest nochmal port 465 probieren, ohne authentifizierung.

konmil

Ok, wenn das SSO darstellt …
Für mich wäre SSO einmal zentral anmelden und alle möglichen Dienste (nicht nur Mail) sind nutzbar ohne erneute Eingabe von Zugangsdaten. Aber egal.
Außerdem sehe ich gerade dass just der Benutzer lokal in der Mailcow angelegt ist. Es gibt in einer anderen Domäne einen gleichlautenden Benutzer der per LDAP authentifiziert wird.

Ich wüsste nicht was bzw. wo ich da etwas verändert haben sollte.
Die extra.cf ist leer bis auf “myhostname” und es gibt keine TLS-Richtlinien - weder generelle noch nutzerspezifische.

Bei Nutzung von 465 ohne auth:
postfix-mailcow-1 | Feb 3 13:01:17 c9c69a19f885 postfix/smtps/smtpd[5452]: connect from unknown[192.168.222.4] postfix-mailcow-1 | Feb 3 13:01:17 c9c69a19f885 postfix/smtps/smtpd[5452]: Anonymous TLS connection established from unknown[192.168.222.4]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256 postfix-mailcow-1 | Feb 3 13:01:17 c9c69a19f885 postfix/smtps/smtpd[5452]: lost connection after CONNECT from unknown[192.168.222.4] postfix-mailcow-1 | Feb 3 13:01:17 c9c69a19f885 postfix/smtps/smtpd[5452]: disconnect from unknown[192.168.222.4] commands=0/0

Öhm, bei Nutzung von Port 25 und auth kam doch ein STARTTLS und dann nix mehr

konmil postfix-mailcow-1 | Feb 3 11:33:15 c9c69a19f885 postfix/smtpd[5012]: lost connection after STARTTLS from unknown[192.168.222.4]

Oder interpretiere ich das Log völlig falsch.

Gruß,
Stefan

DocFraggle

konmil Probier mal eher port 587 mit Authentication und TLS

konmil

Hatte ich - versuche das aber gerne nochmal.

postfix-mailcow-1 | Feb 3 16:41:07 c9c69a19f885 postfix/submission/smtpd[6628]: connect from unknown[192.168.222.4] postfix-mailcow-1 | Feb 3 16:41:07 c9c69a19f885 postfix/submission/smtpd[6628]: Anonymous TLS connection established from unknown[192.168.222.4]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256 postfix-mailcow-1 | Feb 3 16:41:07 c9c69a19f885 postfix/submission/smtpd[6628]: lost connection after STARTTLS from unknown[192.168.222.4] postfix-mailcow-1 | Feb 3 16:41:07 c9c69a19f885 postfix/submission/smtpd[6628]: disconnect from unknown[192.168.222.4] ehlo=1 starttls=1 commands=2

Gruß,
Stefan

DocFraggle

konmil Wie alt ist denn Dein NAS? Kann das evtl kein TLS >1.1? Könntest mal die alten unsicheren Versionen aktivieren:

https://docs.mailcow.email/de/manual-guides/u_e-reeanble-weak-protocols/

Zum Testen zumindest, empfehlen würde ich das nicht dauerhaft laufen zu lassen.

konmil

Das Dingens ist gerade mal 5 Wochen alt und rühmt sich PQC zu machen, aber den Verdacht das der TLS handshake nicht funktioniert hatte ich schon, bin mir aber nicht sicher da ja ein session ticket ausgestellt wird. Alles bischen seltsam.

Bleibt dabei, der TLS handshake wird mit TLS 1.3 gemacht, sowohl bei 587 als auch bei 465.

postfix-mailcow-1 | Feb 3 16:55:50 c9c69a19f885 postfix/submission/smtpd[376]: connect from unknown[192.168.222.4] postfix-mailcow-1 | Feb 3 16:55:51 c9c69a19f885 postfix/submission/smtpd[376]: Anonymous TLS connection established from unknown[192.168.222.4]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256 postfix-mailcow-1 | Feb 3 16:55:51 c9c69a19f885 postfix/submission/smtpd[376]: lost connection after STARTTLS from unknown[192.168.222.4] postfix-mailcow-1 | Feb 3 16:55:51 c9c69a19f885 postfix/submission/smtpd[376]: disconnect from unknown[192.168.222.4] ehlo=1 starttls=1 commands=2

postfix-mailcow-1 | Feb 3 16:56:17 c9c69a19f885 postfix/smtps/smtpd[379]: connect from unknown[192.168.222.4] postfix-mailcow-1 | Feb 3 16:56:17 c9c69a19f885 postfix/smtps/smtpd[379]: Anonymous TLS connection established from unknown[192.168.222.4]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256 postfix-mailcow-1 | Feb 3 16:56:17 c9c69a19f885 postfix/smtps/smtpd[379]: lost connection after CONNECT from unknown[192.168.222.4] postfix-mailcow-1 | Feb 3 16:56:17 c9c69a19f885 postfix/smtps/smtpd[379]: disconnect from unknown[192.168.222.4] commands=0/0

Das wird immer seltsamer, scheinbar ignoriert das NAS den TLS handshake komplett, habe mal testweise:

smtp_tls_protocols=TLSv1.2 smtpd_tls_protocols=TLSv1.2 submission_tls_protocols=TLSv1.2

In die extra.cf eingetragen, macht trotzdem TLS 1.3.

Ein anderer Client geht sehr wohl auf 1.2 (der vorher 1.3) gemacht hat.
Am NAS kann ich nichts einstellen bzgl. TLS Version.
Aber warum klappt das dann mit gmx und TLS 1.3 …

Gruß,
Stefan

konmil

Kleiner Nachtrag:
hab mal - nur um Fehler im IPsec-Tunnel auszuschliessen - im lokalen Netz des NAS eine mailcow installiert, es passiert genau das gleiche, nach dem vermeintlich erfolgreichen TLS Schlüsseltausch beendet das NAS die Verbindung.
Ich konnte es auch mit einem Univention (mit mailstack) versuchen, das gleiche Verhalten, offenbar kann (oder will) das ASUSTOR nicht mit postfix …

konmil

So keine Lust mehr zu testen. Habe das Ganze mal an ASUSTOR gemeldet - mal sehen ib da überhaupt jemand antwortet.