Fehler: TLS connect failed

[conym18]

Hallo,

ich habe einen Plesk 10.4.4 auf meinem Linux.

Hin und wieder erhalte ich beim senden folgenden qmail Hinweis/Fehler:



Hi. This is the qmail-send program at XXXXXX..
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<sales@XXXXXX.de>:
TLS connect failed: error:1411809D:SSL
routines:SSL_CHECK_SERVERHELLO_TLSEXT:tls invalid ecpointformat listZConnected to X.X.X.X but connection died. error:140920C5:SSL routines:SSL3_GET_SERVER_HELLOld session cipher not returned (#4.4.2) I'm not going to try again; this message has been in the queue too long.


Was kann ich hier machen?

 

[PHP-Friends]

Die Hostnames zu zensieren, ist hier etwas ungünstig. Wie soll ein Außenstehender prüfen, ob dein Mailserver oder der der Gegenstelle TLS-mäßig Unsinn macht?

Tritt das immer bei den gleichen Empfängern auf?

 

[conym18]

industrio.de

 

[PHP-Friends]

Ist das jetzt dein Server oder die Gegenseite?

 

[conym18]

Sorry, das ist die Gegenseite.

Fehler tritt soweit ich weiß immer auf.

 

[conym18]

Wer kann mir bei meinem Fehler helfen?

 

[d4f]

Die Gegenseite verwendet eine alte OpenSSL-Version welche versucht EC-Kryptographie zu verwenden und dabei scheitert aber dann inkorrekt die Verbindung abbricht. Google hätte dir das aber sicher auch gesagt.
Siehe: https://rt.openssl.org/Ticket/Display.html?id=2240&user=guest&pass=guest

 

[conym18]

Ich nochmal zu dem Thema.

Ich habe auch bei anderen Domains das Problem:

xxxxxxxxxx@ppg.com>:
TLS connect failed: error:1411809D:SSL
routines:SSL_CHECK_SERVERHELLO_TLSEXT:tls invalid ecpointformat listZConnected to 207.46.163.247 but connection died. error:140920C5:SSL routines:SSL3_GET_SERVER_HELLOld session cipher not returned (#4.4.2) I'm not going to try again; this message has been in the queue too long


Liegt es wirklich "nur daran" ?

 

[Joe User]

Tante Google hat den Error zuletzt 2002 gesehen und demnach scheint der Session-Support bei Dir oder Deinen Gegenstellen kaputt zu sein.
Jetzt müsstest Du also in Erfahrung bringen, welche SSL-Bibliotheken und Versionen (inklusive Patches) jeder einzelne Beteiligte verwendet. Anhand dieser Infos kannst Du dann weitersuchen...


Kurz: Bei diesem Error können wir nicht direkt helfen, selbst wenn wir wollten.

 

[d4f]

Laut MX Eintrag ist industrio.de's Mailserver über Outlook.com gehostet.
Microsoft macht zwar vieles zweifelhaft oder sogar schlichtweg falsch, aber TLS beherrscht die Firma schon.

Das lässt also nur noch einen Partner in der Verbindung als Schuldigen zu...

 

[GwenDragon]

STARTTLS kann der Server nicht mit OpenSSL auf Port 25.

 

[conym18]

Also doch ein Fehler bei der Domain?

 

[GwenDragon]

Jetzt gehts mit openssl 1.0.1e auf Debian 7.8

Liefert:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-SHA384

 

[conym18]

Jetzt versteh ich Bahnhof

 

[GwenDragon]

Was verstehst du nicht?

 

[conym18]

Liegt der Fehler temporär, bei mir oder bei denen?

 

[GwenDragon]

teste mal in der Shell obs geht:

openssl s_client -connect 207.46.163.247:25 -starttls smtp

 

[conym18]

es erscheint:

openssl s_client -connect 207.46.163.247:25 -starttls smtp
CONNECTED(00000003)
140376591447720:error:1411809D:SSL routines:SSL_CHECK_SERVERHELLO_TLSEXT:tls inv                                                                                        alid ecpointformat list:t1_lib.c:1473:
140376591447720:error:14092113:SSL routines:SSL3_GET_SERVER_HELLO:serverhello tl                                                                                        sext:s3_clnt.c:946:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 13268 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : 0000
    Session-ID: 474B000010D09C4966CF02DE67543E26477D03783A7BC76D8637F072816EBA15
    Session-ID-ctx:
    Master-Key:
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1424264127
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

Kann mir das einer übersetzen?

 

[d4f]

no peer certificate available
---
No client certificate CA names sent

SSL/TLS unterstützt neben der serverseitigen Zertifierung (das was allgemein als "SSL-Zertifikat" bekannst ist) auch client-seitige Zertifierung. Dadurch kann ein Client sich asymmetrisch ausweisen statt ein Passwort/Passworthash zu senden. Hier ist es irrelevant.

New, (NONE), Cipher is (NONE)
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : 0000
Session-ID: 474B000010D09C4966CF02DE67543E26477D03783A7BC76D8637F072816EBA15
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
Start Time: 1424264127
Timeout : 300 (sec)

Einige SSL-Details ohne Relevanz hier.

Verify return code: 0 (ok)

Die TLS-Verbindung wurde erfolgreich aufgebaut und wartet auf deine Eingabe der SMTP-Befehle.

 

[conym18]

Also ist von unserer Seite alles richtig.?