carryon
Goto Top

Fehler beim Senden über Stunnel

Hallo zusammen,

ich habe Accounts bei GMX, AOL und 1&1 (Ionos).

Mit GMX und AOL kann ich empfangen und senden. Aber mit 1&1 kann ich nur empfangen.

Beim Senden steht im Stunnel-Protokoll "SSL_connect: ssl/record/ssl3_record.c:354: error:0A00010B:SSL routines::wrong version number". Im Protokoll des Mailprogramms steht "Fehler – Unerwarteter Verbindungsabbruch. Verbindung verloren".

Hier die Konfiguration:

[gmx-pop3]
client = yes
accept = 127.0.0.1:110
connect = pop.gmx.net:995
verifyChain = yes
CAfile = ca-certs.pem
checkHost = pop.gmx.net
OCSPaia = yes

[gmx-smtp]
client = yes
accept = 127.0.0.1:25
connect = mail.gmx.net:465
verifyChain = yes
CAfile = ca-certs.pem
checkHost = mail.gmx.net
OCSPaia = yes

[aol-pop3]
client = yes
accept = 127.0.0.1:10110
; protocol = pop3
connect = pop.aol.com:995
verifyChain = yes
CAfile = ca-certs.pem
checkHost = pop.aol.com
OCSPaia = yes

[aol-smtp]
client = yes
accept = 127.0.0.1:10025
; protocol = smtp
connect = smtp.aol.com:465
verifyChain = yes
CAfile = ca-certs.pem
checkHost = smtp.aol.com
OCSPaia = yes

[1und1-pop3]
client = yes
accept = 127.0.0.1:1110
connect = pop.ionos.de:995
verifyChain = yes
CAfile = ca-certs.pem
checkHost = pop.ionos.de
OCSPaia = yes

[1und1-smtp]
client = yes
accept = 127.0.0.1:1111
connect = smtp.ionos.de:587
verifyChain = yes
CAfile = ca-certs.pem
checkHost = smtp.ionos.de
OCSPaia = yes

Content-ID: 7998630100

Url: https://administrator.de/forum/fehler-beim-senden-ueber-stunnel-7998630100.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

cykes
Lösung cykes 30.07.2023 um 12:58:37 Uhr
Goto Top
Moin,

laut https://www.ionos.de/hilfe/e-mail/allgemeine-themen/serverinformationen- ...
sollte auch:
[1und1-smtp]
{...}
connect = smtp.ionos.de:465
funktionieren, hast Du es damit schon mal probiert? Port 587 verbindet sich per STARTTLS - vermutlich liegt da Dein Problem. Im Prinzip sind 1&1/Ionos, GMX (und web.de) ja ein Konzern...

Gruß

cykes
Lochkartenstanzer
Lochkartenstanzer 30.07.2023 um 13:27:06 Uhr
Goto Top
Zitat von @cykes:

Im Prinzip sind 1&1/Ionos, GMX (und web.de) ja ein Konzern...

Nur sind gmx und web.de in KA und nutzen die gleiche Infrastruktur/Software, zumindest dem äußeren Anschein nach.

1&1 dagegen in Montabaur und hat andere Infrastruktur/Software.

Das ist historisch bedingt so gwachsen.


lks
CarryOn
CarryOn 30.07.2023 um 15:59:23 Uhr
Goto Top
Hallo,

bei connect = smtp.ionos.de:465 kommt die gleiche Fehlermeldung.
7907292512
7907292512 30.07.2023, aktualisiert am 31.07.2023 um 10:40:40 Uhr
Goto Top
SSL_connect: ssl/record/ssl3_record.c:354: error:0A00010B:SSL routines::wrong version number".
Setze mal die minimale zu verwendende TLS Version. IONOS supported nur ab TLS1.2 aufwärts
[1und1-smtp]
client = yes
accept = 127.0.0.1:1111
connect = smtp.ionos.de:465
verifyChain = yes
CAfile = ca-certs.pem
checkHost = smtp.ionos.de
sslVersionMin = TLSv1.2
OCSPaia = yes
Ist die verwendete OpenSSL Bibliothek auf aktuellem Stand?

Gruß siddius
CarryOn
CarryOn 31.07.2023 um 08:35:55 Uhr
Goto Top
Hallo,

Stunnel hat die Version 5.70. Die Version von OpenSSL kann ich Dir gar nicht sagen.

Ich habe die stunnel-5.70-win64-installer.exe ausgeführt und es hat alles funktioniert,
Mit 1&1 habe ich erst kürzlich etwas senden wollen, deswegen ist mir der Fehler nicht gleich aufgefallen.

Bringt denn Stunnel im Installer die aktuelle OpenSSL nicht mit?
Wie kann ich denn die Version überprüfen und/oder (nach)installieren?

Ich habe viel getestet, jetzt funktioniert es mit Port 465.
Aber nur dann, wenn bei protocol = smtp vor "protocol" ein Semikolon steht oder der Eintrag gelöscht wird.
Bleibt der Eintrag, dann steht im Protokoll des Mailprogramms steht "Fehler - Unerwarteter Verbindungsabbruch. Die Verbindung wurde getrennt".

Dabei ist es egal ...

... ob der Eintrag OCSPaia = yes enthalten ist oder nicht.
... ob der Eintrag sslVersionMin = TLSv1.2 enthalten ist oder nicht.
... ob beide Einträge enthalten sind oder nicht.

Mit dem Eintrag protocol = smtp funktioniert es dagegen nur mit dem Port 587.
Jetzt ist die Frage, welche "richtige oder bessere" Konfiguration ich nehmen soll.
7907292512
Lösung 7907292512 31.07.2023 aktualisiert um 10:05:24 Uhr
Goto Top
Stimmt hatte ich verwechselt.
Auf Port 587 wird STARTTLS verwendet dort muß protocol auf smtp gesetzt werden damit STARTTLS statt SSL/TLS verwendet wird.

STARTTLS sollte man wenn es geht vermeiden, dort gab es potentielle Sicherheitslücken in der Vergangenheit.
Verwende besser Port 465 mit SSL/TLS. Dort darf der Protocol Eintrag dann auch nicht stehen das ist wie gesagt nur für den Fall das STARTTLS benutzt wird.

Bei STARTTLS ist die Initiale Verbindung unverschlüsselt, erst nach dem übergeben des STARTTLS Commands Unterhalten sich die beiden Parteien dann verschlüsselt.
Bei SSL über Port 465 wird schon beim Verbindungsaufbau verschlüsselt kommuniziert, das ist also zu bevorzugen. STARTTLS ist eigentlich nur zur Abwärtskompatibilität von älteren Clients gedacht was die Provider aus diesem Grund noch anbieten.
CarryOn
CarryOn 31.07.2023 um 10:34:41 Uhr
Goto Top
Meine Konfiguration (bis auf die Daten unter "accept") stammen aus einem Beispiel, der Fehler lag also am Port.

Dann wäre die Konfiguration quasi wie bei GMX? Wobei OCSPaia = yes und sslVersionMin = TLSv1.2 gar nicht benötigt werden?
7907292512
7907292512 31.07.2023 aktualisiert um 10:43:39 Uhr
Goto Top
Zitat von @CarryOn:

Meine Konfiguration (bis auf die Daten unter "accept") stammen aus einem Beispiel, der Fehler lag also am Port.

Dann wäre die Konfiguration quasi wie bei GMX? Wobei OCSPaia = yes und sslVersionMin = TLSv1.2 gar nicht benötigt werden?
Ich würde das trotzdem rein schreiben, sicher ist sicher, denn erst TLS1.2 gilt momentan noch als Sicher. 1und1 bietet kleinere Versionen aber eh auch nicht mehr an, die Einstellung verhindert aber das evt. Protokoll-Downgrade-Attacken ins leere laufen.
"OCSPaia" kannst du ja selbst nachschlagen, das prüft die Zertifikatskette und zurückgezogenen Zertifikate auf den Servern der Anbeiter, sollte also der Server ein Zertifikat ausliefern das zurückgezogen wurde dann wird die Verbindung abgelehnt.
Hatte das nur für deine Tests erst mal rausgenommen, im Produktivbetrieb sollte das da natürlich drin stehen.

Wie immer RTFM hilft.
CarryOn
CarryOn 31.07.2023 um 10:49:46 Uhr
Goto Top
OK, dann übernehme ich das so. Ich danke euch für die Hilfe.