Qmail: TLS_connect_failed nur bei Versand an GMX und web.de

kludwig

New Member
Hallo,

nach zwei Tagen der Suche, belästige ich nun doch einmal das Forum mit der Bitte um Hilfestellung.

Seit dem 02.12.2014 erreicht keine einzige Email von meinem Server, die Server von GMX und web.de. Nachrichten stauen sich eine nach der anderen in der Qmail-Warteschlange. Nun lag mir beim bemühen der Suche hier und die von Google natürlich nahe, dass mein Server auf irgendeine Blacklist gerutscht ist. Die Prüfung der Listen lieferte allerdings nur Ergebnisse, dass er nicht gelistet wird.

Nächster Schritt war die Überprüfung der Protokolle während des Email-Versands. Ich erhalte folgende Zeilen nur, wenn eine Email an GMX oder web.de gesendet wird - mehr nicht:

HTML:
Dec  3 15:39:40 server1 qmail: 1386081580.805755 delivery 22: deferral: TLS_connect_failed:_error:100AE081:elliptic_curve_routines:EC_GROUP_new_by_curve_name:unknown_groupZConnected_to_213.165.67.104_but_connection_died._error:100AE081:elliptic_curve_routines:EC_GROUP_new_by_curve_name:unknown_group_(#4.4.2)/

Bei dieser versandten Email war die Einstellungen für das TLS-Zertifikat in Apple's Mail "Ohne" und beim SMTP-Server "SSL verwenden" aktiviert - falls dies für die Fehlersuche relevant sein sollte.

Zuletzt noch die Kontaktaufnahme zu web.de über die Postmaster-Seite - wie auch mehrmals hier im Forum erwähnt. Auf eine Antwort warte ich allerdings immer noch.

Zum Server: CentOS 6.5 / Qmail 1.03-cos6.build115130805.16 von PLESK 11.5.30 Update #25 / Root-Server EX4 von Hetzner

Reverse-DNS/PTR sind für beide (IP4/IP6) IP-Adressen im Hetzner Robot gesetzt. Für den Hostname A-Record und AAAA-Record bei SchlundTech ebenfalls.

clientcert.pem und servercert.pem sind beide unverändert unter /var/qmail/control vorhanden.

Der Hostname ist vollständig unter /var/qmail/control/me aufgeführt.

Herzlichen Dank im Voraus für Tips & Tricks zur weiteren Fehlersucher/-behebung.

Viele Grüße, kludwig
 
Last edited by a moderator:

d4f

Kaffee? Wo?
Nun lag mir beim bemühen der Suche hier und die von Google natürlich nahe, dass mein Server auf irgendeine Blacklist gerutscht ist.
Ehrlich gesagt keine Ahnung wie du darauf kommst. Die Fehlermeldung ist absolut unterschiedlich. Hier ein relevanter Bug-Report dazu:
https://bugzilla.redhat.com/show_bug.cgi?id=1019390#c2

Scheinbar verwendet GMX einen ECDHE Algorithmus den Redhat (und somit scheinbar auch CentOS) ohne weitergehende Begrüdung aus ihren Produkten entfernt hat. Ich _rate_ mal dass es mit der unlängst gefundenen möglichen "Magic number backdoor" in einem der EC-Algorithmen zu tun hat.

Ob und wie du client-seitig (also in qmail) die Verwendung von ECDHE als temporären Bugfix umgehen kannst ist mir nicht bekannt. Die Verschlüsslung komplett ab zu schalten ist nicht wirklich ratsam aber hier vielleicht nützlich.
 

Janny82

Blog Benutzer
Wenn noch nicht geschehen, solltest du deine Haupt-IP-Adresse dediziert dem Mailserver zuordnen. Ansonsten meckern web.de & Konsorten. Daran lag es zumindest mal bei mir.

smtp_bind_address = Haupt-IP-Adresse
 
Last edited by a moderator:

kludwig

New Member
Danke für eure Antworten! Hat sich gelohnt, sich doch mal zu trauen, ins Forum zu schreiben. Habe jetzt einige Anregungen gefunden, den ersten Gedanken mit der Blacklist komplett zu verwerfen.

Janny82 hat mich mit dem Vorschlag doch auf den Weg gebracht, im laufenden Betrieb mal Qmail auf die Seite zu schieben und zu Postfix mit den verbesserten Einstellmöglichkeiten zu wechseln. Nun funktioniert alles wieder. Hätte ich auch früher tätigen können. Allerdings wollte ich dem Fehler erst auf den Grund gehen, bevor ich mit Neuinstallationen etc. anfange; zumal Qmail auf dem System jetzt über ein Jahr stabil ohne Probleme gelaufen ist.

Um das Thema so gut es geht abzuschließen: im Plesk-Installationsprogramm von Qmail auf Postfix gewechselt - Problem tritt nicht mehr auf.

Viele Grüße und vielen Dank nochmals
 
Last edited by a moderator:

ddmedia

New Member
Identische Probleme

Habe auf gleich auf zwei Servern das identische o.g. Problem. Würde ja auch auf postfix umstellen, aber dann gehen doch alle Mails in der Warteschlange verloren oder hat jemand eine Idee, wie man das Problem "umschiffen" kann?
 

Thorashh

Registered User
Moin

Das Problem ist nicht dein Mailprogramm, sondern openssl (1.0.1). Deswegen nützt Dir eine Umstellung auf Postfix nichts.

Du kannst entweder dein openssl downgraden (1.0.0) oder auf ein Update warten, in dem das Problem behoben ist.

Thorashh
 

Thorashh

Registered User
Moin

Code:
yum downgrade openssl ...
Die Punkte mit den abhängigen Paketen ergänzen. Die musst Du auch downgraden.

Thorashh
 
Top