bloodstix
Sep 09, 2019
view4910
view5
0
Goto Top

Problem mit STARTTLS bei Outgoing-SMTP mit Postfix

GermanQuestionE-MailInternet
Guten Morgen zusammen,

ich habe heute von einem User die Meldung erhalten, er könne an eine bestimmte Domain keine Mails schicken.
Als Fehlermeldung sagt der empfangende Server "503 Bad sequence of commands (TLS needed for this session)". Ich habe outgoing TLS aktiviert und das auch geprüft, in dem ich mit selbst eine Testmail geschickt habe un im Recieved-Header "ESMTPS" stand.

Folgendes steht im Log für die Transmission mit dem Server, wo es Probleme gibt:
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: initializing the client-side TLS engine
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: < mx.targetdom.bsp[8x.2xx.x4.x42]:25: 220 mx.targetdom.bsp ESMTP service ready; Mon, 9 Sep 2019 11:32:09 +0200
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: > mx.targetdom.bsp[8x.2xx.x4.x42]:25: EHLO mail.meinserver.com
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: < mx.targetdom.bsp[8x.2xx.x4.x42]:25: 250-mx.targetdom.bsp
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: < mx.targetdom.bsp[8x.2xx.x4.x42]:25: 250-8BITMIME
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: < mx.targetdom.bsp[8x.2xx.x4.x42]:25: 250-PIPELINING
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: < mx.targetdom.bsp[8x.2xx.x4.x42]:25: 250-SIZE 52428800
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: < mx.targetdom.bsp[8x.2xx.x4.x42]:25: 250 STARTTLS
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: server features: 0x101f size 52428800
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: Using ESMTP PIPELINING, TCP send buffer size is 4096
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: > mx.targetdom.bsp[8x.2xx.x4.x42]:25: STARTTLS
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: < mx.targetdom.bsp[8x.2xx.x4.x42]:25: 220 Ready to start TLS
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: setting up TLS connection to mx.targetdom.bsp[8x.2xx.x4.x42]:25
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: mx.targetdom.bsp[8x.2xx.x4.x42]:25: TLS cipher list "ALL:+RC4:@STRENGTH"  
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: send attr request = seed
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: send attr size = 32
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: private/tlsmgr: wanted attribute: status
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: input attribute name: status
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: input attribute value: 0
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: private/tlsmgr: wanted attribute: seed
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: input attribute name: seed
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: input attribute value: doyQjSjOPmMdRw3bNH8HZcZTvJDRQB1QHb0wPyUmJMg=
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: private/tlsmgr: wanted attribute: (list terminator)
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: input attribute name: (end)
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: SSL_connect:before/connect initialization
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: SSL_connect:SSLv2/v3 write client hello A
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: warning: network_biopair_interop: error reading 7 bytes from the network: Connection reset by peer
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: SSL_connect error to mx.targetdom.bsp[8x.2xx.x4.x42]:25: -1
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: maps_find: smtp_sasl_passwd: mx.targetdom.bsp: not found
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: maps_find: smtp_sasl_passwd: dom.targetdom.bsp: not found
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: smtp_sasl_passwd_lookup: no auth info found (sender=`postmaster@meinserver.com', host=`mx.targetdom.bsp')  
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: 48419B6257: Cannot start TLS: handshake failure
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: name_mask: resource
Sep  9 11:32:09 naschwelt9 postfix/smtp[13871]: name_mask: software
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: < mx.targetdom.bsp[8x.2xx.x4.x42]:25: 220 mx.targetdom.bsp ESMTP service ready; Mon, 9 Sep 2019 11:32:10 +0200
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: > mx.targetdom.bsp[8x.2xx.x4.x42]:25: EHLO mail.meinserver.com
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: < mx.targetdom.bsp[8x.2xx.x4.x42]:25: 250-mx.targetdom.bsp
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: < mx.targetdom.bsp[8x.2xx.x4.x42]:25: 250-8BITMIME
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: < mx.targetdom.bsp[8x.2xx.x4.x42]:25: 250-PIPELINING
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: < mx.targetdom.bsp[8x.2xx.x4.x42]:25: 250-SIZE 52428800
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: < mx.targetdom.bsp[8x.2xx.x4.x42]:25: 250 STARTTLS
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: server features: 0x101f size 52428800
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: Using ESMTP PIPELINING, TCP send buffer size is 4096
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: > mx.targetdom.bsp[8x.2xx.x4.x42]:25: MAIL FROM:<postmaster@meinserver.com> SIZE=507
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: > mx.targetdom.bsp[8x.2xx.x4.x42]:25: RCPT TO:<postmaster@dom.targetdom.bsp>
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: > mx.targetdom.bsp[8x.2xx.x4.x42]:25: DATA
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: < mx.targetdom.bsp[8x.2xx.x4.x42]:25: 503 Bad sequence of commands (TLS needed for this session)
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: connect to subsystem private/bounce
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: send attr nrequest = 0
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: send attr flags = 0
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: send attr queue_id = 48419B6257
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: send attr original_recipient = postmaster@dom.targetdom.bsp
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: send attr recipient = postmaster@dom.targetdom.bsp
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: send attr offset = 623
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: send attr dsn_orig_rcpt = rfc822;postmaster@dom.targetdom.bsp
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: send attr notify_flags = 0
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: send attr status = 5.0.0
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: send attr diag_type = smtp
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: send attr diag_text = 503 Bad sequence of commands (TLS needed for this session)
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: send attr mta_type = dns
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: send attr mta_mname = mx.targetdom.bsp
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: send attr action = failed
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: send attr reason = host mx.targetdom.bsp[8x.2xx.x4.x42] said: 503 Bad sequence of commands (TLS needed for this session) (in reply to MAIL FROM command)
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: private/bounce socket: wanted attribute: status
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: input attribute name: status
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: input attribute value: 0
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: private/bounce socket: wanted attribute: (list terminator)
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: input attribute name: (end)
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: 48419B6257: to=<postmaster@dom.targetdom.bsp>, relay=mx.targetdom.bsp[8x.2xx.x4.x42]:25, delay=1.2, delays=0/0.01/0.95/0.24, dsn=5.0.0, status=bounced (host mx.targetdom.bsp[8x.2xx.x4.x42] said: 503 Bad sequence of commands (TLS needed for this session) (in reply to MAIL FROM command))
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: < mx.targetdom.bsp[8x.2xx.x4.x42]:25: 503 Bad sequence of commands
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: < mx.targetdom.bsp[8x.2xx.x4.x42]:25: 503 Bad sequence of commands
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: > mx.targetdom.bsp[8x.2xx.x4.x42]:25: RSET
Sep  9 11:32:10 naschwelt9 postfix/smtp[13871]: > mx.targetdom.bsp[8x.2xx.x4.x42]:25: QUIT
Ich komme einfach nicht dahinter was hier falsch ist. Eigentlich ist nut "smtp_tls_security_level = may" aktiviert.
Bei unserem eigenen Mailserver ist selbe KOnfig aktiv und ich bekommen eine E-Mail an diese Domain normal durch.

Hat jemand eine Idee?


Grüße
bloody
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 493267

Url: https://administrator.de/contentid/493267

Printed on: April 26, 2024 at 10:04 o'clock

5 Comments
Latest comment
Goto Top
Mitglied: 140913
140913 Sep 09, 2019 updated at 10:06:52 (UTC)
Goto Top
Hi
warning: network_biopair_interop: error reading 7 bytes from the network: Connection reset by peer
Das deutet auf Netzwerk- / Firewallprobleme im Zusammenhang mit der TLS-Verbindung hin.
Welche Postfix-Version ist installiert auf welchem OS bei welcher Internet Verbindung? Ältere Versionen hatten damit in manchen
Konstellationen Probleme und es gab auch Bugs in dieser Hinsicht. Aktualisiere den Postfix auf jeden Fall erst mal bevor du andere Maßnahmen durchführst.
Member: bloodstix
bloodstix Sep 09, 2019 at 10:57:25 (UTC)
Goto Top
Hallo,

is ein Postfix 2.7.1-1+squeeze1. Server ist ein Debian 6.0.1. Ich weiss, ziemlich alt und eigentlich EOL. Aber wie so oft, ein totales Legacy-System, welches tunlichst nicht zu schief angeguckt werden sollte, da es sonst ggf. auseinander fällt. Bisher gabs eben keine Probleme und deshalb wurden auch immer die Investitionsempfehlungen unsererseits von Kunden abgelehnt.

Jemand noch ne Idee wie man da nochmal drum herum schiffen kann?
Ansonsten würde ich meinem Kunden empfehlen dies wirklich als letzte Warnung zu sehen und schleunigst ein neues brandaktuelles Mail-Relay aufzusetzen.

Gruß
bloody
Mitglied: 140913
140913 Sep 09, 2019 updated at 11:04:47 (UTC)
Goto Top
is ein Postfix 2.7.1-1+squeeze1. Server ist ein Debian 6.0.1.
Aua ... dann wundert mich das nicht wirklich, 9 Jahre altes wankendes Schiff bei dem es nur eine Frage der Zeit ist bis es untergeht ...
Jemand noch ne Idee wie man da nochmal drum herum schiffen kann?
Wenigstens die OpenSSL-Bibliotheken und Cipher Suites sind aktuell?
Ich würde hier nicht weiter fackeln und dringend aktualisieren! Er spart definitiv am falschen Ende.
Ansonsten würde ich meinem Kunden empfehlen dies wirklich als letzte Warnung zu sehen und schleunigst ein neues brandaktuelles Mail-Relay aufzusetzen.
Auf jeden Fall, schon der diversen Sicherheitslücken wegen.
Member: LordGurke
LordGurke Sep 09, 2019 at 18:34:48 (UTC)
Goto Top
Dann wird der jetzt vermutlich daran scheitern, dass die Gegenstelle kein TLSv1.0 mehr spricht, dein Squeeze aber nichts besseres kann.
Kannst du testen, indem du OpenSSL von dort auf den Zielserver anwendest:

openssl s_client -connect "zielserver:smtp" -starttls smtp

Wenn dort anstelle eines Zertifikats ebenfalls nur Fehlermeldungen auftauchen, ist genau das dein Problem.
Member: bloodstix
bloodstix Sep 12, 2019 at 08:06:50 (UTC)
Goto Top
Hallo,

da kommt folgender Fehler:
read from 0x1dcf300 [0x1dd4a20] (7 bytes => -1 (0xFFFFFFFFFFFFFFFF))
write:errno=104

Haben jetzt angeboten ein neues System aufzusetzen.
Danke euch.

Grüße
bloody
GermanQuestionE-MailInternet