Fehler beim Senden über Stunnel
Hallo zusammen,
ich habe Accounts bei GMX, AOL und 1&1 (Ionos).
Mit GMX und AOL kann ich empfangen und senden. Aber mit 1&1 kann ich nur empfangen.
Beim Senden steht im Stunnel-Protokoll "SSL_connect: ssl/record/ssl3_record.c:354: error:0A00010B:SSL routines::wrong version number". Im Protokoll des Mailprogramms steht "Fehler – Unerwarteter Verbindungsabbruch. Verbindung verloren".
Hier die Konfiguration:
ich habe Accounts bei GMX, AOL und 1&1 (Ionos).
Mit GMX und AOL kann ich empfangen und senden. Aber mit 1&1 kann ich nur empfangen.
Beim Senden steht im Stunnel-Protokoll "SSL_connect: ssl/record/ssl3_record.c:354: error:0A00010B:SSL routines::wrong version number". Im Protokoll des Mailprogramms steht "Fehler – Unerwarteter Verbindungsabbruch. Verbindung verloren".
Hier die Konfiguration:
[gmx-pop3]
client = yes
accept = 127.0.0.1:110
connect = pop.gmx.net:995
verifyChain = yes
CAfile = ca-certs.pem
checkHost = pop.gmx.net
OCSPaia = yes
[gmx-smtp]
client = yes
accept = 127.0.0.1:25
connect = mail.gmx.net:465
verifyChain = yes
CAfile = ca-certs.pem
checkHost = mail.gmx.net
OCSPaia = yes
[aol-pop3]
client = yes
accept = 127.0.0.1:10110
; protocol = pop3
connect = pop.aol.com:995
verifyChain = yes
CAfile = ca-certs.pem
checkHost = pop.aol.com
OCSPaia = yes
[aol-smtp]
client = yes
accept = 127.0.0.1:10025
; protocol = smtp
connect = smtp.aol.com:465
verifyChain = yes
CAfile = ca-certs.pem
checkHost = smtp.aol.com
OCSPaia = yes
[1und1-pop3]
client = yes
accept = 127.0.0.1:1110
connect = pop.ionos.de:995
verifyChain = yes
CAfile = ca-certs.pem
checkHost = pop.ionos.de
OCSPaia = yes
[1und1-smtp]
client = yes
accept = 127.0.0.1:1111
connect = smtp.ionos.de:587
verifyChain = yes
CAfile = ca-certs.pem
checkHost = smtp.ionos.de
OCSPaia = yes
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7998630100
Url: https://administrator.de/forum/fehler-beim-senden-ueber-stunnel-7998630100.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
9 Kommentare
Neuester Kommentar
Moin,
laut https://www.ionos.de/hilfe/e-mail/allgemeine-themen/serverinformationen- ...
sollte auch:
funktionieren, hast Du es damit schon mal probiert? Port 587 verbindet sich per STARTTLS - vermutlich liegt da Dein Problem. Im Prinzip sind 1&1/Ionos, GMX (und web.de) ja ein Konzern...
Gruß
cykes
laut https://www.ionos.de/hilfe/e-mail/allgemeine-themen/serverinformationen- ...
sollte auch:
[1und1-smtp]
{...}
connect = smtp.ionos.de:465
Gruß
cykes
Nur sind gmx und web.de in KA und nutzen die gleiche Infrastruktur/Software, zumindest dem äußeren Anschein nach.
1&1 dagegen in Montabaur und hat andere Infrastruktur/Software.
Das ist historisch bedingt so gwachsen.
lks
SSL_connect: ssl/record/ssl3_record.c:354: error:0A00010B:SSL routines::wrong version number".
Setze mal die minimale zu verwendende TLS Version. IONOS supported nur ab TLS1.2 aufwärts[1und1-smtp]
client = yes
accept = 127.0.0.1:1111
connect = smtp.ionos.de:465
verifyChain = yes
CAfile = ca-certs.pem
checkHost = smtp.ionos.de
sslVersionMin = TLSv1.2
OCSPaia = yes
Gruß siddius
Stimmt hatte ich verwechselt.
Auf Port 587 wird STARTTLS verwendet dort muß protocol auf smtp gesetzt werden damit STARTTLS statt SSL/TLS verwendet wird.
STARTTLS sollte man wenn es geht vermeiden, dort gab es potentielle Sicherheitslücken in der Vergangenheit.
Verwende besser Port 465 mit SSL/TLS. Dort darf der Protocol Eintrag dann auch nicht stehen das ist wie gesagt nur für den Fall das STARTTLS benutzt wird.
Bei STARTTLS ist die Initiale Verbindung unverschlüsselt, erst nach dem übergeben des STARTTLS Commands Unterhalten sich die beiden Parteien dann verschlüsselt.
Bei SSL über Port 465 wird schon beim Verbindungsaufbau verschlüsselt kommuniziert, das ist also zu bevorzugen. STARTTLS ist eigentlich nur zur Abwärtskompatibilität von älteren Clients gedacht was die Provider aus diesem Grund noch anbieten.
Auf Port 587 wird STARTTLS verwendet dort muß protocol auf smtp gesetzt werden damit STARTTLS statt SSL/TLS verwendet wird.
STARTTLS sollte man wenn es geht vermeiden, dort gab es potentielle Sicherheitslücken in der Vergangenheit.
Verwende besser Port 465 mit SSL/TLS. Dort darf der Protocol Eintrag dann auch nicht stehen das ist wie gesagt nur für den Fall das STARTTLS benutzt wird.
Bei STARTTLS ist die Initiale Verbindung unverschlüsselt, erst nach dem übergeben des STARTTLS Commands Unterhalten sich die beiden Parteien dann verschlüsselt.
Bei SSL über Port 465 wird schon beim Verbindungsaufbau verschlüsselt kommuniziert, das ist also zu bevorzugen. STARTTLS ist eigentlich nur zur Abwärtskompatibilität von älteren Clients gedacht was die Provider aus diesem Grund noch anbieten.
Zitat von @CarryOn:
Meine Konfiguration (bis auf die Daten unter "accept") stammen aus einem Beispiel, der Fehler lag also am Port.
Dann wäre die Konfiguration quasi wie bei GMX? Wobei OCSPaia = yes und sslVersionMin = TLSv1.2 gar nicht benötigt werden?
Ich würde das trotzdem rein schreiben, sicher ist sicher, denn erst TLS1.2 gilt momentan noch als Sicher. 1und1 bietet kleinere Versionen aber eh auch nicht mehr an, die Einstellung verhindert aber das evt. Protokoll-Downgrade-Attacken ins leere laufen.Meine Konfiguration (bis auf die Daten unter "accept") stammen aus einem Beispiel, der Fehler lag also am Port.
Dann wäre die Konfiguration quasi wie bei GMX? Wobei OCSPaia = yes und sslVersionMin = TLSv1.2 gar nicht benötigt werden?
"OCSPaia" kannst du ja selbst nachschlagen, das prüft die Zertifikatskette und zurückgezogenen Zertifikate auf den Servern der Anbeiter, sollte also der Server ein Zertifikat ausliefern das zurückgezogen wurde dann wird die Verbindung abgelehnt.
Hatte das nur für deine Tests erst mal rausgenommen, im Produktivbetrieb sollte das da natürlich drin stehen.
Wie immer RTFM hilft.