Mailversand über Port 25

[tommasch11]

Hallo,

installiert DSM 6.0

Folgendes Problem kann ich seit Tagen schon nicht lösen:

- eingehende Mails > o.k.
- Mailversand zu Provider GMX und GMAIL funktioniert nicht.

Laut Log kann keine Verbindung zu den Mailservern aufgebaut werden. Ein telnet mail.gmx.net, 25 bzw. telnet smtp.gmail.com 25 läuft auch in einen Timeout. Ein telnet über Port 587 läuft dagegen einwandfrei.

Nun denke ich mir das so: Der Mailserver versucht grundsätzlich eine Erstverbindung über Port 25. Da mittlerweile aber fast alle Provider Port 25 nicht mehr nutzen, kann also keine Verbindung zustande kommen.

Wie kann ich die SYNO dazu bewegen, erst über Port 587 zu senden, oder erst über 25 zu testen und dann bei Nichterfolg über 587?

 

[mexx81]

Nutzt Du Deinen Mailserver als Relay oder als eigenen MTA? Also sendest Du die Mails an GMX zum versenden, weil es GMX Mails sind oder ist GMX in Deiner Beschreibung der Empfänger der Mail?

Ich habe mal ein Telnet auf Port 25 bei beiden gemacht und bekomme eine Antwort.

 

[tommasch11]

Er ist MTA, also ich versende Mails an z.B. GMX-Adressen - ein Relay wird nicht benutzt. Habe das jetzt mal von einem anderen normalen DSL-Anschluß getestet und ich bekomme eine 25-iger Antwort. Also schau ich mal in meiner Firewall bzw. Routing.

 

[mexx81]

Guter Plan.

Du solltest zwingend SMTP-TLS aktivieren, weil sonst in der Postfix Configfile wohl TLS nicht mal auf may steht. Hast Du in den IPTables in der Output Chain etwas geändert. Sind denn Deine Ports 25 und 587 von aussen erreichbar?

Habe selber einen MTA mit fester IP am Netz. Wir könnten auch untereinander testen. Nicht, dass Du mit Deinen Tests auf Blacklisten landest.

 

[tommasch11]

SMTP-TLS und SMTP-SSL sind aktiviert. Mein Mailserver ist von außen über eine feste IP erreichbar (mail.thomas-goeckeritz.de). Kannst ja bitte mal testen. Ich würde dann gern den Gegentest bei Dir machen ...

 

[jahlives]

dein Mailserver antwortet auf Anfragen an Port 25
Auch STARTTLS Verbindungen auf Port 25 und 587 werden abgenommen. SSL Verbidungen auf Port 465 gehen auch

 

[mexx81]

Ich schließe mich jahlives an und habe eine Mail an den Postmaster geschickt. Mein Log zeigt eine erfolgreiche TLS Verbindung an. Eingehend sieht für mich also gut aus.

 

[tommasch11]

Ein telnet von dem externen DSL
auf 25:

220 thomas-goeckeritz.de ESMTP Postfix
EHLO mail.thomas-goeckeritz.de
250-thomas-goeckeritz.de
250-PIPELINING
250-SIZE 104857600
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

und auf 587:

220 thomas-goeckeritz.de ESMTP Postfix
EHLO mail.thomas-goeckeritz.de
250-thomas-goeckeritz.de
250-PIPELINING
250-SIZE 104857600
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

Sieht doch gut aus, oder?

 

[mexx81]

An der Stelle fast schon unnötig aber wirft vielleicht doch ein Ergebnis aus. Nimm mal SSH zu Hand und führe folgende Befehle aus.

openssl s_client -connect mail.gmx.net:587
openssl s_client -connect mail.gmx.net:25
openssl s_client -starttls smtp -connect mail.gmx.net:25
openssl s_client -starttls smtp -connect mail.gmx.net:587

Du solltest bei allen vier eine plausbible Antwort erhalten. Ich habe dies von meinen Server aus mit diesen Befehl auf Deinen gemacht...

openssl s_client -starttls smtp -connect mail.thomas-goeckeritz.de:587

...und bekomme einen erfolgreichen Handshake hin.

 

[tommasch11]

Erst einmal vielen Dank!

Habe jetzt aber leider noch einen Termin - ich melde mich dann wieder!

 

[tommasch11]

Hallo mexx81,

über 587 kommen folgende Werte:

CONNECTED(00000004)
716223696:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 307 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1460112545
Timeout : 300 (sec)
Verify return code: 0 (ok)

und

CONNECTED(00000004)
depth=2 C = DE, O = Deutsche Telekom AG, OU = T-TeleSec Trust Center, CN = Deutsche Telekom Root CA 2
verify return:1
depth=1 C = DE, O = T-Systems International GmbH, OU = T-Systems Trust Center, ST = NRW, postalCode = 57250, L = Netphen, street = Untere Industriestr. 20, CN = TeleSec ServerPass DE-1
verify return:1
depth=0 C = DE, O = 1&1 Mail & Media GmbH, ST = Rhineland-Palatinate, L = Montabaur, emailAddress = server-certs@1und1.de, CN = mail.gmx.net
verify return:1
---
Certificate chain
0 s:/C=DE/O=1&1 Mail & Media GmbH/ST=Rhineland-Palatinate/L=Montabaur/emailAddress=server-certs@1und1.de/CN=mail.gmx.net
i:/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=NRW/postalCode=57250/L=Netphen/street=Untere Industriestr. 20/CN=TeleSec ServerPass DE-1
1 s:/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=NRW/postalCode=57250/L=Netphen/street=Untere Industriestr. 20/CN=TeleSec ServerPass DE-1
i:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
2 s:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
i:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
---
Server certificate
-----BEGIN CERTIFICATE-----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8cwJGQbmJGt9x8BExbhMY6uQ+HsnsDCPCMVh5JGKx7/e+qyxtHYGChOeI16m2+MT
z47jSQIDAQABo4IDfzCCA3swHwYDVR0jBBgwFoAUYk8TzjZnhM0Z/KBPGYvvFVQB
MhwwDgYDVR0PAQH/BAQDAgWgMB0GA1UdJQQWMBQGCCsGAQUFBwMCBggrBgEFBQcD
ATAdBgNVHQ4EFgQUH8mLfxsd5FEh9M+3t3rP6qLiFTEwWQYDVR0gBFIwUDBEBgkr
BgEEAb1HDQIwNzA1BggrBgEFBQcCARYpaHR0cDovL3d3dy50ZWxlc2VjLmRlL3Nl
cnZlcnBhc3MvY3BzLmh0bWwwCAYGZ4EMAQICMIIBIQYDVR0fBIIBGDCCARQwRaBD
oEGGP2h0dHA6Ly9jcmwuc2VydmVycGFzcy50ZWxlc2VjLmRlL3JsL1RlbGVTZWNf
U2VydmVyUGFzc19ERS0xLmNybDCByqCBx6CBxIaBwWxkYXA6Ly9sZGFwLnNlcnZl
cnBhc3MudGVsZXNlYy5kZS9jbj1UZWxlU2VjJTIwU2VydmVyUGFzcyUyMERFLTEs
b3U9VC1TeXN0ZW1zJTIwVHJ1c3QlMjBDZW50ZXIsbz1ULVN5c3RlbXMlMjBJbnRl
cm5hdGlvbmFsJTIwR21iSCxjPWRlP2NlcnRpZmljYXRlUmV2b2NhdGlvbmxpc3Q/
YmFzZT9jZXJ0aWZpY2F0ZVJldm9jYXRpb25saXN0PSowggE5BggrBgEFBQcBAQSC
ASswggEnMDMGCCsGAQUFBzABhidodHRwOi8vb2NzcC5zZXJ2ZXJwYXNzLnRlbGVz
ZWMuZGUvb2NzcHIwTAYIKwYBBQUHMAKGQGh0dHA6Ly9jcmwuc2VydmVycGFzcy50
ZWxlc2VjLmRlL2NydC9UZWxlU2VjX1NlcnZlclBhc3NfREUtMS5jZXIwgaEGCCsG
AQUFBzAChoGUbGRhcDovL2xkYXAuc2VydmVycGFzcy50ZWxlc2VjLmRlL2NuPVRl
bGVTZWMlMjBTZXJ2ZXJQYXNzJTIwREUtMSxvdT1ULVN5c3RlbXMlMjBUcnVzdCUy
MENlbnRlcixvPVQtU3lzdGVtcyUyMEludGVybmF0aW9uYWwlMjBHbWJILGM9ZGU/
Y0FDZXJ0aWZpY2F0ZTAMBgNVHRMBAf8EAjAAMD8GA1UdEQQ4MDaCDG1haWwuZ214
Lm5ldIILbWFpbC5nbXguZGWCDHNtdHAuZ214Lm5ldIILc210cC5nbXguZGUwDQYJ
KoZIhvcNAQEFBQADggEBAJ5SKsBXoOTO0ztsFh8RVd/iu6sijEMpKVF+/cs74TZN
K1QWIz8Ay1f3SUPWXTvkmvayUXWGtxZfYoRIrx3feWBdUozJxe0wz1O3tDQOQgRX
nkcwk7nibTUmW2rk5AIwV0jzOHtIbAGjSdc6my0543e7dVkhcuoCOC+g2NmD+pHF
i1KpmqTLecDlFvprIZUJ23AT1uTnuXYg/tFHeDn3ga00Gce82xZQJelRirJs01SR
DGEBaPXBjJVJNoAP/qEy3jQNRWo5TbSgwn3DTR81FJvltmf0c+zlt4fmcpjpr5ni
FvK7L0rZQL5MOGHPpgRIukEBZCowYr3OYpZYBEaB94I=
-----END CERTIFICATE-----
subject=/C=DE/O=1&1 Mail & Media GmbH/ST=Rhineland-Palatinate/L=Montabaur/emailAddress=server-certs@1und1.de/CN=mail.gmx.net
issuer=/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=NRW/postalCode=57250/L=Netphen/street=Untere Industriestr. 20/CN=TeleSec ServerPass DE-1
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 5210 bytes and written 468 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: E1FFAAAE6A4AB9164FE5CB08B961B355C26BFE92935689B856D6B39F0B94BF49
Session-ID-ctx:
Master-Key: E094494073F5110BAEFC5CAAC2CCC7BFD5099FFF3A99A737970DA905D4C0D233C6451852B8F721CB2368AD85F4FDF259
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1460112608
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
250 STARTTLS


Sieht also sehr gut aus. Über Port 25 kommt gar keine Verbindung zu Stande - was ja auch zu erwarten war. In unserer FW sind testhalber für das Netz, in der die Syno steht, nach außen allen Ports offen. Ich habe da aber noch eine Ahnung ...

 

[mexx81]

Sieht gut aus. Handshake war erfolgreich.

Wie sieht denn Deine Netztopologie aus? Diskstation -> Firewall von DS -> Heimrouter oder hast Du noch andere Koponenten dazwischen. Du sprichst von Firewall. Meinst Du die der Diskstation?

 

[tommasch11]

Meine Topology sieht folgendermaßen aus:

DS > Firewall > "Transportnetz" > Internet

Mittlerweile habe ich herausgefunden, dass es im "Transportnetz" (worauf ich keinen Zugriff habe) eine Beschränkung seitens SMTP geben muß (nur von einer bestimmten IP, oder Domain, oder was auch immer). Gelöst habe ich dies jetzt durch den Einsatz eines Relays im Mailserver.

Ich bedanke mich trotzdem für Euren intensiver Einsatz!