4.4.7 SMTP; 403 4.7.0 TLS handshake failed

[Lord_Icon]

Hi,

ein etwas älterer Mailserver kann seit kurzen nicht mehr zur Allianz.de senden/empfangen.
Es betrifft hier ausschließlich die Allianz. Keine weitere Firma.

Ergo wird die alli wohl den Sicherheitsstandard seit kurzem erheblich hoch gedreht haben. LEider finde ich hier nicht das Problem bzw. eine Lösung.

Folgende Fehlermeldung:

Diagnoseinformationen fr Administratoren:
Generierender Server: mailgw.allianz.de
b.b****@******.de
[B][COLOR="Red"]#< #4.4.7 SMTP; 403 4.7.0 TLS handshake failed.> #SMTP#[/COLOR][/B]
Ursprngliche Nachrichtenkopfzeilen:
Return-Path: <Doreen.****@allianz.de>
Received: from SW007429.wwg00m.rootdom.net (sw007429.wwg00m.rootdom.net [10.103.111.10] (may be forged))       by mailgw.allianz.de  with ESMTP id t2488W77019581       for <b.b*****@*******.de>; Wed, 4 Mar 2015 08:08:45 GMT
Received: from VAXMUCC1.wwg00m.rootdom.net ([10.108.59.40]) by
 SW007429.wwg00m.rootdom.net ([fe80::b8e8:bd7f:448d:694c%13]) with mapi; Wed,
 4 Mar 2015 09:08:36 +0100
From: "*****, Doreen (Allianz Deutschland)" <Doreen.******@allianz.de>
To: "b.****@****.de" <b.*****@*****.de>
Date: Wed, 4 Mar 2015 09:08:33 +0100
Subject: =?utf-8?B?V0c6IFfDvHJ0dGVtYmVyZ2lzY2hlIFZlcnNpY2hlcnVuZw==?=
Thread-Topic: =?utf-8?B?V8O8cnR0ZW1iZXJnaXNjaGUgVmVyc2ljaGVydW5n?=
Thread-Index: AdBAi8SIcdHTeIPsSMSzEVT475RfDgVYOFrAABlqrrA=
Message-ID: <8BA0AFC58A809F408A4E7578C9DFC8D43B466C4A4F@VAXMUCC1.wwg00m.rootdom.net>
References: <54D23422.6010007@*******.de>
 <0EAD293053DC1644A13B37B90D0C9C1436103F8E59@VAXMUCE1.wwg00m.rootdom.net>
In-Reply-To: <0EAD293053DC1644A13B37B90D0C9C1436103F8E59@VAXMUCE1.wwg00m.rootdom.net>
Accept-Language: de-DE
Content-Language: de-DE
X-MS-Has-Attach: yes
X-MS-TNEF-Correlator:
acceptlanguage: de-DE
Content-Type: text/plain
MIME-Version: 1.0

"TLS handshake failed" sagt mir auch mein Log.

Mitunter vermute ich, dass das selbstsignierte Zertifikat das Problem ist.

Lösungsversuch 1: Gibt es eine Möglichkeit postfix/dovecot zu sagen, dass er mit der allianz unverschlüsselt kommunizieren soll?
Sende ich die Mail über einen Unverschlüsselten Kanal, kommt die Email an.

Nur habe ich wenig Lust darauf sämtliche Mails unverschlüsselt zu versenden.... für die 2 Mails, die im Jahr zur Allianz gehen.
Oder aber ein SSL zertifikat zu kaufen.

Danke für Hilfestellungen oder Ratschläge.

 

[GwenDragon]

Auf dem Server mal mit openssl s_client testen, ob mailgw überhaupt SSL kann.

 

[Lord_Icon]

Jupp... hab ich auch schon gemacht.
Nur so ganz erkenntlich waren die Ausgaben nicht.

Mach ich ne Prüfung vom MX Record von der Alli bekomme ich 4 zuständige Server zurück

mailin01-allianz.rmx.de
mailin02-allianz.rmx.de
mailin03-allianz.rmx.de
mailin04-allianz.rmx.de

Alle 4 hab ich mit openssl mach durchgecheckt:

openssl s_client -starttls smtp -connect mailin01-allianz.rmx.de:25

CONNECTED(00000003)
depth=2 /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/C=DE/ST=Bavaria/L=M\xC3\xBCnchen/O=Retarus GmbH/CN=*.rmx.de
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance CA-3
 1 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance CA-3
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
 2 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIFEDCCA/igAwIBAgIQBhFkYXPkBCiZEVOf5oReBDANBgkqhkiG9w0BAQUFADBm
...
0jPn7g==
-----END CERTIFICATE-----
subject=/C=DE/ST=Bavaria/L=M\xC3\xBCnchen/O=Retarus GmbH/CN=*.rmx.de
issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance CA-3
---
No client certificate CA names sent
---
SSL handshake has read 4824 bytes and written 372 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 52DC368156A14D157D4EF0630E2CF02A0B961ED9039210DCDCF6A268E8517CA3
    Session-ID-ctx:
    Master-Key: 8379380C95DC0837F0BC8B09E5A97E3CCCDDA1164AAA719ABF1608DF2350619F75B45374522EC46A3D2D47625D9FA9B6
    Key-Arg   : None
    Start Time: 1427459142
    Timeout   : 300 (sec)
    Verify return code: 19 (self signed certificate in certificate chain)
---
250 DSN
^C

Hier scheint das Problem nicht zu liegen. Die direkten MX Server scheinen mein SSL Zert. zu akzeptieren.

Aber die Fehlermeldung vom Server sagt ja anderes:
mailgw.allianz.de
Vom Namen her würd ich vermuten, das da n MailGateway läuft... und hier scheine ich wohl nicht weiterzukommen.

Alles recht merkwürdig.

 

[GwenDragon]

Und was steht im Postfix SSL-Log wenn du nicht an rmx.de senden kannst?

grep -i tls mail.log | grep 'postfix/smtp\['

Und wie sind denn die Einstellungen für SSL in Postfix?
http://www.postfix.org/TLS_README.html#client_tls_limits
http://www.postfix.org/TLS_README.html#client_tls

Man könnte mit einer tls_policy auch für bestimmte Ziele die Verschlüsselung abschalten http://www.postfix.org/postconf.5.html#smtp_tls_policy_maps

leider wissen wir nix über deine Konfiguration
postconf | grep smtp_ | grep -i tls
und die Version des Postfix.

Usn was ein alter Mailserver sein soll, erschließt sich der Glaskugel auch nicht. 10 Jahre alt?