Fehlermeldung : "conversation timed out while receiving the initial server greeting"

[TheGardner]

Fehlermeldung : "conversation timed out while receiving the initial server greeting"

Okay, nachdem im Nachbar Thema einige dem Ralf schon einige Sachen bei der Mailserver-Einrichtung erklärt haben, will ich hier mal mein derzeitiges Problem schildern und baue das Thema gleich mal so auf, dass User mit ähnlichen Fehlermeldungen in Zukunft hier per Suche evt. drüber stolpern sollten!

Zu den Fakten:

DS412+ mit den Paketen Mailserver und Mail Station. Die Einrichtung des Mail-Servers ist in den Bildern unten (hoffentlich) gut dargestellt. Das ganze Konstrukt läuft über eine Top-Level Domain, welche per DNS bei dynDNS.org/.com gehostet ist! Das Relais wird dabei vom dortigen Outbound Server übernommen! Die Relais-Details sind einigen sicher bekannt! Über die Internet-Suche gibt es verschiedene SSL-Portangaben (10465 oder 465), so das ich beide schon geprüft hatte und die gleiche Fehlermeldung bekomme! Tatsache ist, dass die Fehlermeldung mir zumindest zeigt, dass diese Ports tatsächlich benutzt werden! Versuche ich den Port 587, dann bekomme ich sofort eine Meldung, dass der Server sich dort nicht verbinden kann.

Die Frage ist jetzt: Wieso bekomme ich ständig diese Meldung, so dass die Mails nicht zugestellt werden können! Es passiert immer nur bei bestimmten Mail-Providern (GMX, Microsoft, T-Online), welche aber meisst die Vielgenutzten sind! Schicke ich Mails von/für zwei User mit Mailkonten meiner eigenen Domain, dann klappt die Zustellung super! Genauso klappt die Zustellung, wenn ich z.B. Mails von Outlook.com / GMX.de aus an den Server schicke (MX Record alle ordentlich gepflegt).
Im Internet ist zu dem Fehler in einem anderen Forum noch zu finden, dass man doch bitte den Eintrag:

smtp_connect_timeout = 30s (default)

in der main.cf des Postfix auf 120s setzen soll. Die Frage ist dann aber für mich: Wo finde ich die main.cf des Postfix bei mir auf der Synology! Die main.cf des Mail-Servers ist damit wohl nicht gemeint, da diese über den gefragten/gewünschten Eintrag nicht verfügt.

Des weiteren habe ich auch noch den Relais von GMX.net (mit meinen GMX-Account Einstellungen) probiert und bekomme dort ebenfalls die gleiche Meldung! Jemand eine Idee, was ich falsch mache bzw. wo ich noch eine Schraube nicht gestellt habe? Fusion? Andere Mail-Server Cracks vielleicht?








SMTP-SSL aktivieren" hab ich erstmal weggelassen, da es da zu Probleme kommt, die man im nexten Schritt mal angehen kann! Irgendwie mag mein Mail-Server nicht über SSL rausschicken


Alle vier Services sind in den FW-Einstellungen und im Router berücksichtigt!


die Jobs stehen eine Weile in der Warteschleife, um dann mit der Fehlermeldung hängen zu bleiben


Im e-Mail Protokoll steht komischerweise "gesendet", ob wohl das nicht der Fall ist!
Die e-Mail wird über die nexten Stunden dann wieder und wieder versucht zuzustellen, was das Protokoll füllt

 

[jahlives]

wieso sollte es nicht die main.cf des Mailservers sein? ;-) Wenn dort ein bestimmter Wert nicht gesetzt ist, heisst das letztlich nur dass der Default Wert greift. Gerade bei Postfix sind die Parameter und ihre Default Werte im Manual sehr vorbildlich beschrieben: http://www.postfix.org/postconf.5.html#smtp_connect_timeout
Den Port 10465 finde ich etwas merkwürdig für einen Mailserver (Relay). Steht das denn auch so in den FAQ des Anbieters?
Mal Port 25 oder 587 probiert? Einfach den Haken immer TLS verwenden wegmachen. Es wird trotzdem noch verschlüsselt. Einfach nicht mehr implizit wie bei Port 465 und gesetzem Haken sondern explizit d.h. deine Kiste verbindet erst unverschlüsselt, schickt dann das STARTTLS Kommando durch und deine Kiste und der Server handeln eine Verschlüsselung aus.
Port 465 gilt eigentlich als eher "veraltet"

 

[TheGardner]

D.h. ich doktere jetzt mal diese smtp_connect_timeout = Funktion in die main.cf des Mailserver rein und gehe nach Deiner Aussage jetzt davon aus, dass bei Synology in den Ordnern "der Postfix" = "der Mailserver" ist!
Zu den Ports: 587 hab ich probiert (geht nicht) und 465 ist in den Dokumentationen von DynDNS.org so beschrieben! 10465 ist scheinbar ein Port, der unbeschrieben in der Doku, von den DynDNS Cracks benutzt und im DynDNS Forum so kommuniziert wird.
Die Fehlermeldung kommt bei beiden Ports - also auf 10465 als auch 465!



Edit:

also Portänderung des Relais auf 25, bringt das:



geht also so auch nicht! Die Relais-Einstellungen waren geändert auf:



Ändere das jetzt zurück auf die von DynDNS angegebenen Einstellungen (Port 465 und Haken rein bei TLS)

 

[jahlives]

incorrect auth data heisst normalerweise wirklich falscher Username oder Passwort

 

[TheGardner]

Jep! Aber die Login Daten sind 100% correct! Melde mich immer so bei DynDNS an! könnte höchstens noch sein, dass der Mailserver Großbuchstaben nicht mag, wo der Webserver da keine Probleme hat! Probiere das nochmal aus!


Zur Zeit hab ich folgende Einstellungen:

Port 465
Haken raus bei TLS

und die Warteschlange sagt auf einmal "incoming" Das hatte ich bisher noch nie! Immer nur "active" und "deferred"





Edit: aahhh und kurz danach kommt dann (doch) wieder meine oben beschriebene Meldung! Ein Versuch mach ich jetzt noch mit Port 587 und Haken raus bei TLS.
Dann geh ich doch mal dazu über die main.cf zu editieren!

 

[TheGardner]

Port 587 bringt "Connection timed out" Meldungen! Das ist es auch nicht!

Schlussendlich hab ich mir jetzt die main.cf vorgenommen und um den "smtp_connect_timeout = 120s" Eintrag erweitert! Muss aber feststellen, dass die Datei jedes mal wieder überschrieben wird und der Eintrag danach fehlt!
Wie ichs auch mache (Server down - Datei editiert - Server start // Datei editiert - Server restart), sie wird immer wieder überschrieben und ich bekomm den Mailserver nicht ausgetrickst!


Warum bringt der immer: "conversation timed out while receiving the initial server greeting"

 

[jahlives]

es gibt zu main.cf auch eine Template Datei, die wird nicht überschrieben. Such im Forum danach

 

[TheGardner]

Okay, das passt!

/volume1/@appstore/MailServer/etc/template/main.template editiert und um den Eintrag "smtp_connect_timeout = 120s" erweitert und jetzt ist er drin!

main.cf sieht jetzt wie folgt aus:

inet_protocols = ipv4, ipv6
mailbox_size_limit = 0
broken_sasl_auth_clients = yes
disable_vrfy_command = yes
cyrus_sasl_config_path = /var/packages/MailServer/target/etc
smtp_connect_timeout = 120s
smtpd_sasl_authenticated_header = yes
smtpd_tls_cert_file = /usr/syno/etc/ssl/ssl.crt/server.crt
smtpd_tls_key_file = /usr/syno/etc/ssl/ssl.key/server.key
smtpd_tls_security_level = may
sender_bcc_maps = hash:/var/packages/MailServer/target/etc/bcc/sender_bcc
recipient_bcc_maps = hash:/var/packages/MailServer/target/etc/bcc/recipient_bcc
smtpd_client_restrictions = check_client_access hash:/var/packages/MailServer/target/etc/access/client_access, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
alias_maps = hash:/var/packages/MailServer/target/etc/aliases
myhostname = xxxxxxxxxxxxxxxxxxxxx.org
smtpd_sasl_auth_enable = yes
mydestination = $myhostname, localhost.$mydomain, localhost
message_size_limit = 104857600
smtpd_sender_restrictions = reject_unknown_sender_domain
header_checks = regexp:/var/packages/MailServer/target/etc/header_checks
relayhost = outbound.mailhop.org:465
smtp_use_tls = yes
smtp_sasl_tls_security_options = noanonymous
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/var/packages/MailServer/target/etc/sasl_passwd
smtp_sasl_security_options = noanonymous
smtpd_recipient_restrictions = check_client_access hash:/var/packages/MailServer/target/etc/access/client_access,
                                check_sender_access hash:/var/packages/MailServer/target/etc/access/sender_access,
                                check_recipient_access hash:/var/packages/MailServer/target/etc/access/recipient_access,
                                permit_mynetworks,
                                permit_sasl_authenticated,
                                reject_unauth_destination

Aber auch der Eintrag bringt nix :|
Die Fehlermeldung steht wie angestemmt:




Kapier das nicht!

 

[jahlives]

auf der DS sollte es das openssl Kommando geben, damit kann man SSL Verbindungen prüfen

/pfad/zu/openssl s_client -connect IP_DES_SERVERS:465
/pfad/zu/openssl s_client -connect IP_DES_SERVERS:587 -starttls smtp

beide Kommandos oder sicher das erste müssten Dir das Zertifikat des mailhop zurückgeben. Wenn das nicht geht, dann blockiert irgendwas die Verbindung oder würgt sie zu früh ab

 

[TheGardner]

das kanns eigentlich nicht sein! Ich habe das Ganze auch mit GMX als Relais veranstaltet und bekomme die gleichen Fehlermeldungen! Wahrscheinlich könnte ich jeden anderen Provider versuchen - es wird immer wieder das Gleiche sein!


465:

DiskStation> /usr/syno/bin/openssl s_client -connect 204.13.248.71:465
WARNING: can't open config file: /usr/syno/ssl/openssl.cnf
CONNECTED(00000003)
depth=3 C = IE, O = Baltimore, OU = CyberTrust, CN = Baltimore CyberTrust Root
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/C=US/ST=New Hampshire/L=Manchester/O=Dynamic Network Services, Inc./CN=outbound.mailhop.org
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
 1 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
 2 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
   i:/C=IE/O=Baltimore/OU=CyberTrust/CN=Baltimore CyberTrust Root
 3 s:/C=IE/O=Baltimore/OU=CyberTrust/CN=Baltimore CyberTrust Root
   i:/C=IE/O=Baltimore/OU=CyberTrust/CN=Baltimore CyberTrust Root
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=US/ST=New Hampshire/L=Manchester/O=Dynamic Network Services, Inc./CN=outbound.mailhop.org
issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
---
No client certificate CA names sent
---
SSL handshake has read 4901 bytes and written 645 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: B8396C1675EC13DEEFD566EC7C88F41C4236AEB99BB6B618B0038814B2996932
    Session-ID-ctx:
    Master-Key: 586BB905341FB3266100BF99E5DDB6B110408FFFCC25CF05BE906EF20FF2E5E14737ED917BB3E68D483332D868850936
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket:
    0000 - 58 ed 62 60 2c d9 6f 5e-ae 5a 37 a5 20 f9 fd 86   X.b`,.o^.Z7. ...
    0010 - ba 5c 0f f2 c6 62 f6 c5-57 87 02 17 38 c2 f2 c3   .\...b..W...8...
    0020 - 4d 4d 66 8e 15 ee 33 17-b7 3f e8 c8 e1 e5 6f ab   MMf...3..?....o.
    0030 - 02 0e 1d 40 84 aa 89 56-d7 91 6a 36 38 eb 89 63   ...@...V..j68..c
    0040 - 7d c2 18 44 cb 36 c3 91-74 4f 83 97 25 14 af aa   }..D.6..tO..%...
    0050 - 83 8d 29 e3 76 0b f6 fd-dc d8 20 08 d5 09 ea e5   ..).v..... .....
    0060 - b7 ef d1 38 f7 13 76 6b-a4 aa 12 71 ae d6 d6 f9   ...8..vk...q....
    0070 - ca b0 7b e1 3f c6 01 35-1d 0e b5 4f 01 01 92 8c   ..{.?..5...O....
    0080 - f3 83 f1 a3 b2 31 41 79-c0 6c 7b bd 98 40 da 6a   .....1Ay.l{..@.j
    0090 - 98 43 16 89 b9 1f a2 39-2a 15 b4 d5 4b 9c 0b b3   .C.....9*...K...

    Start Time: 1405674916
    Timeout   : 300 (sec)
    Verify return code: 19 (self signed certificate in certificate chain)
---
220-mho-01-ewr.mailhop.org ESMTP Exim 4.72 Fri, 18 Jul 2014 09:15:13 +0000
220- This is a private server for Dyn Standard SMTP customers.
220- See http://dyn.com/email/dyn-standard-smtp/ for details.
220  All Access Is Logged.  Authorized Users Only.

587:

DiskStation> /usr/syno/bin/openssl s_client -connect 204.13.248.71:587 -starttls smtp
WARNING: can't open config file: /usr/syno/ssl/openssl.cnf

 

[TheGardner]

So Auflösung:

so wie es aussieht geht es über diverse deutsche Provider nicht, sich per SMTP/SMTP-SSL mit dem Relais von DynDNS.org zu verbinden! Kann sein, dass das Ding auf dem Index steht - keine Ahnung! Probiert hab ichs über T-Online, Congster, Fonic und per VPN von hide.me - überall gibts bei Anfragen der Ports 25, 2525, 10025 ne Meldung, dass die Userdaten falsch sind und bei den SSL Ports 465 und 10465 kommt gar keine Antwort innerhalb der getesteten deutschen Netze!

Lösung wäre in dem Fall:

- den Relais von Gmail (smtp.gmail.com:25 und :587 [SSL]) zu nutzen. Problem dort - alle eMails die über den Relais rausgehen, werden mit dem Gmail.com Absender zugestellt, was Empfänger sicherlich verwirren könnte bzw. uns als Absender unschön erscheinen wird.
- nen Relais von Hosteurope oder Strato zu benutzen (wenn man dort angemeldet ist). Da klappt auch die Zustellung super mit dem Absendernamen, von dem aus die eMail ausgesand wird.