lynix
Registered User
Hi!
Ich habe seit kurzem ein Problem mit Qmail bzw. dessen SMTP-Daemon:
TLS-Verbindungen funktionieren einwandfrei, SSL-Verbindungen enden je nach Mailclient in einem Timeout (Thunderbird) oder einer Fehlermeldung, die besagt, die SSL-Verbindung könne nicht aufgebaut werden (Claws-Mail).
Beide SMTPs werden über xinetd gestartet:
Es handelt sich um einen Debian-Server mit Plesk 8.4. Ich musste, um spamdyke zum Greylistung verwenden zu können, von inetd auf xinetd wechseln, was aber meines Erachtens nicht die Ursache des Problems ist.
Ein Verbinden ohne Mailclient auf dem SSL-Port funktioniert:
An der Firewall liegt es auch nicht, die habe ich zu Testzwecken kurzzeitig deaktiviert.
Ich habe einen kompletten TCPdump (Wireshark) einer erfolgreichen und einer erfolglosen Sitzung, falls das nützlich sein könnte...
Hat jemand ne Idee, was ich noch versuchen könnte?
Vielen Dank im Voraus!
Gruß
lynix
Ich habe seit kurzem ein Problem mit Qmail bzw. dessen SMTP-Daemon:
TLS-Verbindungen funktionieren einwandfrei, SSL-Verbindungen enden je nach Mailclient in einem Timeout (Thunderbird) oder einer Fehlermeldung, die besagt, die SSL-Verbindung könne nicht aufgebaut werden (Claws-Mail).
Beide SMTPs werden über xinetd gestartet:
Code:
service smtp
{
socket_type = stream
protocol = tcp
wait = no
disable = no
user = root
instances = 100
env = SMTPAUTH=1 END=1
server = /var/qmail/bin/tcp-env
server_args = -Rt0 /var/qmail/bin/relaylock /usr/local/bin/spamdyke -f /etc/spamdyke.conf /var/qmail/bin/qmail-smtpd /var/qmail/bin/smtp_auth /var/qmail/bin/true /var/qmail/bin/cmd5checkpw /var/qmail/bin/true
}
Code:
service smtps
{
socket_type = stream
protocol = tcp
wait = no
disable = no
user = root
instances = 100
env = SMTPAUTH=1 END=1
server = /var/qmail/bin/tcp-env
server_args = -Rt0 /var/qmail/bin/relaylock /usr/local/bin/spamdyke -f /etc/spamdyke.conf /var/qmail/bin/qmail-smtpd /var/qmail/bin/smtp_auth /var/qmail/bin/true /var/qmail/bin/cmd5checkpw /var/qmail/bin/true
}
Es handelt sich um einen Debian-Server mit Plesk 8.4. Ich musste, um spamdyke zum Greylistung verwenden zu können, von inetd auf xinetd wechseln, was aber meines Erachtens nicht die Ursache des Problems ist.
Ein Verbinden ohne Mailclient auf dem SSL-Port funktioniert:
Code:
openssl s_client -crlf -starttls smtp -connect mail.meinedomain.de:465
CONNECTED(00000003)
depth=0 /C=DE/ST=Germany/L=Cologne/O=Intergenia AG/OU=Internet Service Provider/CN=vsXXXXX.vserver.de/[email protected]
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=DE/ST=Germany/L=Cologne/O=Intergenia AG/OU=Internet Service Provider/CN=vsXXXXX.vserver.de/[email protected]
verify return:1
---
Certificate chain
0 s:/C=DE/ST=Germany/L=Cologne/O=Intergenia AG/OU=Internet Service Provider/CN=vsXXXXX.vserver.de/[email protected]
i:/C=DE/ST=Germany/L=Cologne/O=Intergenia AG/OU=Internet Service Provider/CN=vsXXXXX.vserver.de/[email protected]
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIFCDCCA/CgAwIBAgIESMjU4zANBgkqhkiG9w0BAQQFADCBtjELMAkGA1UEBhMC
(...)
ZnaKXwA025SpCE6UOg+f+huEbOUzhqLThqWkE9Ja5ZTIewp290XVoih5hRM=
-----END CERTIFICATE-----
subject=/C=DE/ST=Germany/L=Cologne/O=Intergenia AG/OU=Internet Service Provider/CN=vsXXXXX.vserver.de/[email protected]
issuer=/C=DE/ST=Germany/L=Cologne/O=Intergenia AG/OU=Internet Service Provider/CN=vsXXXXX.vserver.de/[email protected]
---
No client certificate CA names sent
---
SSL handshake has read 1632 bytes and written 485 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: 746B2C228D993BFB11A3AE5A40B1E213CE099D0D9EBB09D5C1772E0B304D8EB6
Session-ID-ctx:
Master-Key: 980F5FF0835ADF4D41E5BF4B1CB995B5650FD063F18CC7EF328FAEDDD7D2BC5FE85215B78CB429678E1B81DADAF0F998
Key-Arg : None
Start Time: 1234427548
Timeout : 300 (sec)
Verify return code: 18 (self signed certificate)
---
250 8BITMIME
QUIT
DONE
An der Firewall liegt es auch nicht, die habe ich zu Testzwecken kurzzeitig deaktiviert.
Ich habe einen kompletten TCPdump (Wireshark) einer erfolgreichen und einer erfolglosen Sitzung, falls das nützlich sein könnte...
Hat jemand ne Idee, was ich noch versuchen könnte?
Vielen Dank im Voraus!
Gruß
lynix