Server Support Forum
Anzeige:
mail, TLS connect failed

Zurück   Server Support Forum > >

Anzeige:

Antwort
 
Themen-Optionen Thema bewerten
  #1  
Alt 17.06.2015, 10:02
conym18 conym18 ist offline
Registered User
 
Registriert seit: 09.2007
Beiträge: 184
mail, TLS connect failed

Hallo,

ich habe eine Linux Server mit Plesk 10.4.4 und OpenSSL 1.0.1g 7 Apr 2014


Beim Senden an bestimmte Emails erhalten ich folgende Fehlermeldung zurück:

<[email protected]>:
TLS connect failed: error:1411809D:SSL
routines:SSL_CHECK_SERVERHELLO_TLSEXT:tls invalid ecpointformat
listZConnected to 213.199.154.23 but connection died. error:140920C5:SSL
routines:SSL3_GET_SERVER_HELLOld session cipher not returned (#4.4.2) I'm
not going to try again; this message has been in the queue too long.


Was kann ich machen?
Mit Zitat antworten
Anzeige:

  #2  
Alt 17.06.2015, 14:49
Benutzerbild von catwiesel
catwiesel catwiesel ist offline
Registered User
 
Registriert seit: 12.2006
Ort: Zum Glück in Bayern
Beiträge: 848
https://github.com/droe/sslsplit/issues/7

http://stackoverflow.com/questions/2...g-ssl-endpoint

Schon mal gegoogelt...
__________________
Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots.
So far, ....the universe is winning!
Mit Zitat antworten
  #3  
Alt 17.06.2015, 15:16
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 56
Beiträge: 2.555
Ich weiß nicht welche Chiffren und welche SSL-Version du aktiviert hast, welchen OpenSSL aus welcher Distrie du verwendest, aber ich meine mich zu erinnern, dass es da einen Bug in 1.0.1 gab: http://rt.openssl.org/Ticket/Display.html?id=2240.
__________________
die Gwen, also die Drachin... nix anderscht!

Geändert von GwenDragon (17.06.2015 um 16:41 Uhr)
Mit Zitat antworten
  #4  
Alt 23.06.2015, 09:54
conym18 conym18 ist offline
Registered User
 
Registriert seit: 09.2007
Beiträge: 184
Danke CATWIESEL:

Wie gebe ich (aus: https://github.com/droe/sslsplit/issues/7) "-s ALL:-ECDH" ein?

openssl -s ALL:-ECDH


Es erscheint:

openssl:Error: '-s' is an invalid command.
Mit Zitat antworten
  #5  
Alt 23.06.2015, 10:02
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 56
Beiträge: 2.555
Code:
openssl s_client -cipher "ALL:-ECDH" -connect example.org:443
__________________
die Gwen, also die Drachin... nix anderscht!
Mit Zitat antworten
  #6  
Alt 23.06.2015, 10:44
conym18 conym18 ist offline
Registered User
 
Registriert seit: 09.2007
Beiträge: 184
Ich erhalte:

Code:
openssl s_client -cipher "ALL:-ECDH" -connect yamauchi-be.mail.protection.outlook.com:465

connect: Connection timed out
connect:errno=110
bei Port 25 erhalte ich:
Code:
CONNECTED(00000003)
140219808417448:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 298 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
---
Hab jetzt übrigens die Version:
OpenSSL 1.0.2c 12 Jun 2015

Geändert von conym18 (23.06.2015 um 10:48 Uhr)
Mit Zitat antworten
  #7  
Alt 23.06.2015, 11:49
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 56
Beiträge: 2.555
Ob du nun TLS oder StartTLS über Port 25 oder 587 oder 465 verwendest, welche Ports erreichbar sind, weiß ich nicht.

Aber wenn du bei SMTP StartTLS verwendest, brauch openssl noch den Parameter -starttls smtp um zu verbinden.

Du kannst auch gern noch -debug hinzufügen um zu sehen was genau passiert oder wo es hakt.
__________________
die Gwen, also die Drachin... nix anderscht!
Mit Zitat antworten
  #8  
Alt 23.06.2015, 12:41
conym18 conym18 ist offline
Registered User
 
Registriert seit: 09.2007
Beiträge: 184
Hallo und vielen Dank für deine Info:

Hier die Ausgabe:

Code:
openssl s_client -cipher "ALL:-ECDH" -starttls smtp -connect yamauchi-be.mail.protection.outlook.com:25
CONNECTED(00000003)
depth=2 CN = Microsoft Internet Authority
verify error:num=20:unable to get local issuer certificate
---
Certificate chain
 0 s:/C=US/ST=WA/L=Redmond/O=Microsoft/OU=Forefront Online Protection for Exchange/CN=mail.protection.outlook.com
   i:/DC=com/DC=microsoft/DC=corp/DC=redmond/CN=MSIT Machine Auth CA 2
 1 s:/DC=com/DC=microsoft/DC=corp/DC=redmond/CN=MSIT Machine Auth CA 2
   i:/CN=Microsoft Internet Authority
 2 s:/CN=Microsoft Internet Authority
   i:/C=IE/O=Baltimore/OU=CyberTrust/CN=Baltimore CyberTrust Root
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=US/ST=WA/L=Redmond/O=Microsoft/OU=Forefront Online Protection for Exchange/CN=mail.protection.outlook.com
issuer=/DC=com/DC=microsoft/DC=corp/DC=redmond/CN=MSIT Machine Auth CA 2
---
Acceptable client certificate CA names
/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Trusted Network CA
/O=RSA Security Inc/OU=RSA Security 2048 V3
/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authority
/C=JP/O=SECOM Trust.net/OU=Security Communication RootCA1
/C=FI/O=Sonera/CN=Sonera Class2 CA
/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5
/O=Entrust.net/OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.)/OU=(c) 1999 Entrust.net Limited/CN=Entrust.net Certification Authority (2048)
/C=NL/O=Staat der Nederlanden/CN=Staat der Nederlanden Root CA - G2
/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
/C=FR/O=Certplus/CN=Class 2 Primary CA
/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
/OU=GlobalSign Root CA - R2/O=GlobalSign/CN=GlobalSign
/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Root Certificate Authority 2011
/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
/C=US/O=GTE Corporation/OU=GTE CyberTrust Solutions, Inc./CN=GTE CyberTrust Global Root
/C=US/O=Entrust.net/OU=www.entrust.net/CPS incorp. by ref. (limits liab.)/OU=(c) 1999 Entrust.net Limited/CN=Entrust.net Secure Server Certification Authority
/C=CH/O=SwissSign AG/CN=SwissSign Silver CA - G2
/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
/C=US/O=Starfield Technologies, Inc./OU=Starfield Class 2 Certification Authority
/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
/C=US/O=Entrust, Inc./OU=www.entrust.net/CPS is incorporated by reference/OU=(c) 2006 Entrust, Inc./CN=Entrust Root Certification Authority
/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Root Certificate Authority - G2
/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2
/C=IE/O=Baltimore/OU=CyberTrust/CN=Baltimore CyberTrust Root
/C=CH/O=SwissSign AG/CN=SwissSign Gold CA - G2
/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Root Certificate Authority 2010
/OU=Copyright (c) 1997 Microsoft Corp./OU=Microsoft Corporation/CN=Microsoft Root Authority
/DC=com/DC=microsoft/CN=Microsoft Root Certificate Authority
/CN=NT AUTHORITY
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
---
SSL handshake has read 9009 bytes and written 687 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.1
    Cipher    : AES256-SHA
    Session-ID: 63200000DCFBD154D21788802E4C7F8C19638B89177365157ECCD1CA80729432
    Session-ID-ctx:
    Master-Key: 53EB9A7A84FEB9595A601C11F0AAC93ED20FA527008072D78E8DF70C88ED1E4FE7EE97C7345A0BF8F156E2AF82A3B367
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1435055965
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---
250 CHUNKING
Bedeutet es das es nun geht und was ich im openssl einstellen, damit auch die Email real verschickt werden?
Mit Zitat antworten
  #9  
Alt 23.06.2015, 13:40
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 56
Beiträge: 2.555
Mit Einstellungen in OpenSSL hat das nichts zu tun.
Dein Mailserver der weitersendet, brauch andere Einstellungen (entweder global oder für bestimmte Ziel-Domains).

Welchen Mailserver benutzt du für SMTP?
__________________
die Gwen, also die Drachin... nix anderscht!
Mit Zitat antworten
  #10  
Alt 23.06.2015, 14:14
conym18 conym18 ist offline
Registered User
 
Registriert seit: 09.2007
Beiträge: 184
Hallo,

ich habe als mailserver "qmail"
Mit Zitat antworten
  #11  
Alt 23.06.2015, 15:47
conym18 conym18 ist offline
Registered User
 
Registriert seit: 09.2007
Beiträge: 184
Wie kann ich global für den qmail die Einstellungen ändern?
Mit Zitat antworten
  #12  
Alt 23.06.2015, 15:51
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 56
Beiträge: 2.555
Bei Qmail kannst du in der Datei /var/qmail/control/tlsserverciphers die gewünschten SSL-Chiffren festlegen:
Code:
ALL:!SSLv2:-ECDH:+HIGH:-MEDIUM:!LOW:!EXPORT:!aNULL
Mit den Chiffren bis du wohl besser bestellt, da ALL:-ECDH auch unsichere Chiffren aktiviert hat.

Inwieweit du dann zu jedem externen SMTP-Server raus kommst, weiß ich nicht.
__________________
die Gwen, also die Drachin... nix anderscht!
Mit Zitat antworten
  #13  
Alt 23.06.2015, 16:24
Benutzerbild von Joe User
Joe User Joe User ist offline
Registered User
 
Registriert seit: 11.2008
Ort: Hamburg
Alter: 38
Beiträge: 3.612
Was soll denn der Bullshit mit dem "-ECDH"?

Eine vernünftige Cipherlist sieht ausserdem eher so aus:
Code:
EECDH+AESGCM:EECDH+AES256:EECDH+AES128:EECDH+3DES:EDH+AESGCM:EDH+AES256:EDH+AES128:EDH+3DES:!RC4:!eNULL:!aNULL:!MEDIUM:!LOW:!EXP
__________________
RootForum CommunityRootForum FacebookRootForum TwitterFreeBSD Remote Installation
PayPal.Me/JoeUserWings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one of those outcomes will result in disaster or an undesirable consequence, then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Mit Zitat antworten
  #14  
Alt 23.06.2015, 16:41
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 56
Beiträge: 2.555
@Joe User
Warum so kotzbrockig?
Sag doch eher mal, was an der von mir kurzen Liste falsch und gefährlich ist, dann lernt conym18 noch was.

Und du garantierst dem Startposter, dass die Chiffren auf dem ollen qmail von Plesk 10 laufen und auch brav nach außen an jeden SMTP verbinden.
__________________
die Gwen, also die Drachin... nix anderscht!
Mit Zitat antworten
  #15  
Alt 23.06.2015, 16:44
Benutzerbild von Joe User
Joe User Joe User ist offline
Registered User
 
Registriert seit: 11.2008
Ort: Hamburg
Alter: 38
Beiträge: 3.612
Die Cipher haben nix mit qmüll zu tun und sein openssl kann damit umgehen.
__________________
RootForum CommunityRootForum FacebookRootForum TwitterFreeBSD Remote Installation
PayPal.Me/JoeUserWings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one of those outcomes will result in disaster or an undesirable consequence, then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Mit Zitat antworten
Antwort

Lesezeichen

Anzeige:

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Fehler: TLS connect failed conym18 Mail 32 19.02.2015 19:14
QMail und SpamAssassin - Problem:connect to spamd on 127.0.0.1 failed, retrying (#3 o DHMH Mail 3 28.03.2010 11:47
connect to spamd on 127.0.0.1 failed (Confixx 3.3) pii Mail 2 16.06.2008 17:00
"connect to spamd on 127.0.0.1 failed" StephenKing Plesk 4 31.08.2007 12:49
PLEASE HELP: MAIL Abholen = ok | Mail Senden = Failed Lord_Icon Mail 8 22.01.2007 20:52


mail, TLS connect failed
mail, TLS connect failed
mail, TLS connect failed mail, TLS connect failed
Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2017, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2017 DragonByte Technologies Ltd.