[geloest] Domino nutzt SSL Port 465 nicht

[DunkelHut]

Hallo Gemeinde,

Ich habe SSL bei uns erst vor ca. 4 Wochen aktiviert und über die Serverdialoge, bzw. Forenbeiträge hier mich zu einer Situation durchgehangelt bei der ich die Kommunikation über Domino zu jede Art von Client als auch Server bislang als gelungen betrachtet habe.

Soweit die Theorie.

Jetzt sitze ich vor meiner Serverconsole und mir fallen wiederum Logginginformationen auf die wie folgt lauten:

SMTPClient: Attempting to Connect: Host smtp2.XXXhosting.SE, Port 465, SSL Port 0, Connecting Domain mail.meine-domain.com

Wenn ich in die Portstatistiken meiner Firewall schaue, kann ich auch sehen das über den Port 465 noch kein lumpiges Byte transferiert worden ist.

Konfiguriert habe ich STARTTLS, was scheinbar auch funktioniert. Ich habe das mit Mozilla Thunderbird erfolgreich getestet. Erfolgreich allerdings nur in der Hinsicht, daß die Mail auch raus ging. Der Client hat zumindest wohl versucht über STARTTLS die Verbindung auszuhandeln, so wie das die Server auch tun wenn ich die Console so beobachte, nur kein Schw..n nutzt SSL Port 465 wirklich.

Das Zertifkat/die Schlüssel das/die wir nutzen haben wir selbst über die Dominomittel generiert. Aber daran kann es doch nicht scheitern.

So wie ich das in der Adminhilfe gelesen habe offeriert der Server seine STARTTLS Bereitschaft in dem er auf bestimmte Weise auf ein "ehlo" antwortet.

Unser Server anwortet wie folgt:
250-HELP
250-VRFY
250-EXPN
250-AUTH LOGIN
250-DSN
250-SIZE
250-8BITMIME
250-PIPELINING
250 STARTTLS

Kann man denn die weiterführenden Schritte, ergo das Aushandeln des TLS auch irgendwie zu Fuß nachvollziehen ?

Bei meinem Test mit Thunderbird konnte ich zwar STARTTLS einstellen und es kam auch ein Connect zustande, nur wenn ich auf reines SSL umstelle bekomme ich kein Login, was mir wiederum signalisiert das STARTTLS zwar funktioniert, schlussendlich die Verbindung jedoch traditionell über Port 25 etabliert wird.

Ergo, SSL ist zwar da, wird aber nicht genutzt.

Was mache ich falsch ?

Gruß
Stefan

EDIT:

Der SMTP-Listener meldet sich in der Console so wie man es sich wünscht:

[11F0:0002-0E54] SMTP CIServ BootStrapIOCP> Exiting Status = 0000h
[11F0:0002-0E54] SMTP CIServ CreateListenerTask> Listen on Port 25
[11F0:0002-0E54] SMTP CIServ CreateListenerTask> Listen on SSL Port 465
[11F0:0002-0E54] SMTP CIServ CreateListenerTask> CreateListenerTask exiting, Status 00000000h
[11F0:0006-13D4] SMTP CIServ ListenerTask> Listener task (Multi-Endpoint) started

[Mandalor]

Meine Infos zu dem Thema haben sich zwar bereits etwas dem geistigen Zerfall hingegeben (hab das mal vor ca 2 Jahren eingerichtet), aber hier noch meine Resterinnerungen:

Damals bekam zunächst kein externer Host eine Verbindung über TLS hin. Nach langem Suchen lag dies an der Firewall, welche alle SMTP-Verbindungen über einen speziellen SMTP-Agent prüfte und hierbei das STARTTLS nicht zuließ.

Weiterhin kann man meines wissens TLS nicht erzwingen [Edit] Man kann es schon erzwingen, dies führt aber zur Abweisung vieler Mails, und zum Arbeitsamt kommt man auch leichter[/Edit]. Die übliche Konfiguration ist, es zu versuchen und wenn der Verbindungspartner dies nicht zulässt, dann auf Port25 zu wechseln. Da TLS meines wissens nicht sehr stark verbreitet ist, wird dies wohl auch das Standardverfahren in der Praxis sein.

Auch wenn ich das Howto (aus dem ich damals die meisten infos gezogen habe) nicht mehr aufrufen kann ist hier noch ein ergänzender Artikel des Autors:  

http://www.ns-tech.com/blog/geldred.nsf/plinks/geld-7ge5j4

[DunkelHut]

Danke, für Deine Meinung und Information.

Ich habe auf Grund der fehlenden Resonanz schon gemerkt das es ein Thema ist, was wohl jeden erst einmal auch über seine Realität nachdenken lässt.

Es ist wie Du sagst, technisch ist viel möglich, ist aber ab dem Moment vollkommen überflüssig wenn es den Usern auf den Sa.. geht.
Der Mailserver ist ja dafür da um Kommunikation zu ermöglichen und nicht zu vermeiden.

Man versucht aber eben den Job entsprechend mit maximaler Sicherheit für die Firma, respektive die User und in best möglicher Qualität zu erfüllen.

Trotzdem ist es in meinem/unseren Fall so, daß Domino da im Moment jede Kommunikation via SSL, Port 465, verweigert. Das ist ein Fakt der trotz oben erwähnter, durchaus berechtiger Ansicht, eben nicht zu akzeptieren ist.

Vor dem Domino steht bei mir/uns eine Sonicwall NSA 240, Provider ist die Telekom und der Router ist eine FritzBox 7390 deren Netzwerksegemt quasi meine DMZ darstellt in der die Sonicawall dann dort seinen Connect abgreift.

Sicher kann sich die Sonicwall auf direkt connecten, aber das entsprechende Interface läuft nicht so stabil wie man es erwartet, deswegen macht den Job eben die stabile Fritzbox mit deren Boardmitteln man eben recht gut auch die Güte des Telekomanschlusses im Auge behalten kann.

An sich ist da alles soweit paletti, aber ich werde den Domino SSL Port jetzt erst einmal im gleichen Netzwerksegement überprüfen in dem der Domino steht, um da irgendwelche Querschläger der Firewall auszuschließen.

Also, in diesem Sinne Danke für die Initalzündung...  

Gruß
Stefan

[DunkelHut]

Ich habe den Mailtransfer über den Domino SSL Port 465 mit einem Client im lokalen Netzwerksegement des Dominoserver getestet. Es hat funktioniert. Ergo liegt der Fehler in der Firewall (Sonicwall NSA 240).

Da ich dort zwischenzeitlich die entsprechende Firewall- und NAT-Policy neu aufgesetzt hatte, gehe ich da mal von einem tiefergreifenden Problem mit der Firmware aus.

Ich werde da in der kommenden Woche den Support entsprechend fordern.

Es macht eben immer Sinn den Fehlern in der Form auf den Grund zu gehen in dem man die einzelnen  Prozesse begutachtet bzw. manuell nachvollzieht insofern das einem möglich ist.

Gruß
Stefan