Re: exim4 und TLS
On Sun, 17 Apr 2016 13:56:53 +0200, Joachim Hartmann
<joachim.hartmann@gmx-topmail.de> wrote:
>Nach dem es mir mit eurer Hilfe [s. exim4, dovecot und thunderbird] gelungen ist
>mit Thunderbird auf die System-Mails zu zugreifen wollte ich nun versuchen auch
>andere Emails zu empfangen. Im Heimnetzwerk klappt(e) das auch problemlos über
>Port 25. Da aber auch Emails von außen angenommen werden sollen, habe ich ver-
>sucht das ganze auf Port 465 und STARTTLS umzustellen und bin kläglich ge-
>scheitert!
Port 465 vergiss mal schnell wieder, das will man nicht.
Für die Übertragung von Mails zwischen MTAs dient Port 25, für die
authentifizierte Einlieferung von Mails vom MUA beim MTA nimmt man
Port 587. Wichtig ist, dass man auf Port 587 keine Mail ohne
Authentifizierung annimmt.
>Versuch eines Verbindungsaufbau
>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
>#~# telnet myhost.dyndns.org 465
>Trying 84.130.x.xx2...
>Connected to myhost.dyndns.org.
>Escape character is '^]'.
>220 ct-Server.myhost.dyndns.org ESMTP Exim 4.84_2 Sun, 17 Apr 2016 09:57:34 +0200
>EHLO myhost.dyndns.org
>250-ct-Server.myhost.dyndns.org Hello p54820884.dip0.t-ipconnect.de [84.130.x.xx2]
>250-SIZE 52428800
>250-8BITMIME
>250-PIPELINING
>250-STARTTLS
>250 HELP
>STARTTLS
>220 TLS go ahead
>EHLO myhost.dyndns.org
>Connection closed by foreign host.
>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Das ist schon verkehrt,wenn man Port 465 missbrauchen möchte muss dort
_direkt_ TLS gesprochen werden (tls_on_connect_ports oder so). Das ist
aber niemals standardisiert worden. Gar nicht erst anfangen mit dem
Unsinn, inzwischen hat das selbst Microsoft kapiert.
Wenn Du SMTP mit STARTTLS sprechen möchtest, musst Du nach STARTTLS
und "220 TLS go ahead" auch TLS sprechen. Das geht mit telnet nicht,
es sei denn Du möchtest selbst verschlüsselte Bytes eintippen (man
gnutls_cli).
>Der Eintrag dazu in der /var/log/exim4/mainlog
>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
>2016-04-17 09:59:24 TLS error on connection from p54820884.dip0.t-ipconnect.de (myhost.dyndns.org) [84.130.x.xx2] (gnutls_handshake): An unexpected TLS packet was received.
>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ein Klartext "EHLO myhost.dyndns.org" ist halt kein gültiges TLS.
>Der Versuch per openssl scheitert
>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
>#~# openssl s_client -connect 192.168.xxx.xx3:456
>connect: Connection refused
>connect:errno=111
>#~# openssl s_client -connect myhost.dyndns.org:456
>connect: No route to host
>connect:errno=113
>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
465 != 456
>Ein Versuch mit swaks:
>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
>#~# swaks -tlsc -s myhost.dyndns.org -q EHLO -p 465
>=== Trying myhost.dyndns.org:465...
>=== Connected to myhost.dyndns.org.
>*** TLS startup failed (connect(): error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol)
>#~# swaks -tlsc -s 192.168.xxx.xx3 -q EHLO -p 465
>=== Trying 192.168.xxx.xx3:465...
>=== Connected to 192.168.xxx.xx3.
>*** TLS startup failed (connect(): error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol)
>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
weil dein exim fälschlicherweise auf Port 465 erstmal Klartext-SMTP
spricht.
Du hast zusammengefasst eine Handvoll Denkfehler und eine ganze Menge
fehlendem Grundwissen kombiniert und bist dabei erstaunlich weit
gekommen. Nur leider sehr früh falsch abgebogen.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Reply to:
- References:
- exim4 und TLS
- From: Joachim Hartmann <joachim.hartmann@gmx-topmail.de>