[offen] SSL auf Port 465 = Schnee von gestern ?

[DunkelHut]

Hallo Forum,

in einem Gespräch mit einem externen Mailadmin habe ich die Information erhalten, das SMTPS auf Port 465 Schnee von gestern, nicht mehr rfc-konform und nicht selten Grund einer Störung der Kommunikation von Mailservern ist.

Grund des Gespräches war, das der Mailtransfer von unserem Domino zu einem speziellen Mailserver nicht zustande kam.

In diesem Gespräch kam dann raus, das auf dem gegenüberliegenden Mailserver, Greylisting genutzt wird und der  Port 465 mit SMTPAuth, ausschließlich für den Connect von Mitarbeitern gedacht ist.

Unser Mailserver rannte, wegen einer vermutlich zu hoch angesetzen Antwortpause des fremden Mailservers, bei jedem Verbindungsversuch sofort gegen Port 465 und kam an der Stelle aber nicht weiter, weil der Port über Authentifizierung lief.

Ich habe dann auf unserem Domino Port 465 erst einmal deaktiviert und siehe da, die Connection kam über TLS nun dennoch zustande. Wenn ich den Port 465 jedoch ausschalte, läuft verständlicherweise die Mailverschlüsselung gegen die Wand.

Es muss also noch eine Einstellung geben die sich meiner Kenntnis entzieht.

Ich habe mich dann erst einmal auf die Suche begeben und folgendes gefunden:

Ursprünglich hatte die Internet Assigned Numbers Authority Anfang 1997 den Port 465 für SMTPS registriert.[1] Ende 1998 wurde dies widerrufen, als STARTTLS spezifiziert wurde.[2] Mit STARTTLS kann derselbe Port ohne TLS und mit TLS genutzt werden. Für SMTP wurde das als besonders wichtig erachtet, weil Clients über dieses Protokoll auch fremde Server ansprechen, von denen sie nicht wissen können, ob sie einen separaten Port für TLS bieten.[3] Auf dem Port 465 ist mittlerweile Source Specific Multicast für Audio und Video registriert.[4][5]
(Quelle: WikipediA)

Vor einiger Zeit hatte ich bei einem RundRumBlick bemerkt, dass bei unserem Domino über Port 465  noch kein einziges Byte transportiert wurde und dazu hier im Forum und etwas später noch einmal hier im Forum nachgefragt.

Heute habe ich nach der Suche hier im Forum noch folgende Beiträge gefunden:

• Ich mein Ports => Internet Ports => Mail => SMTP (Inbound) und SMTP (Outbound) waren beide SSL enabled und schon ging nix mehr.
  

• Über Port 25 wird ein EHLO abgesetzt und der andere Server meldet dann, das TLS zu Verfügung steht. Dann geht es weiter über 465....
  

Kann man den Port 465 nun feuerbestatten oder bedeutet es nur einfach, dass fallweise alles richtig ist ?

LG
Stefan

[DunkelHut]

Anbei das Konfigurationsdokument der Mailports unseres Dominoservers.

Mit diesen Porteinstellungen ergibt sich folgender SMTP-Dialog:

Was mich hier wundert ist, dass Port 465 hier nicht als SSL Port erkannt wird.  

SMTPClient: Attempting to Connect: Host mail.EXTRERN.XX, Port 465, SSL Port 0, Connecting Domain mail.domino.xx
SMTPClient: Connection terminated with status: 2562
Router: No messages transferred to EXTRERN.XX (host mail.EXTRERN.XX) via SMTP: Remote system no longer responding
SMTPClient: Attempting to Connect: Host mail.EXTRERN.XX, Port 25, SSL Port 0, Connecting Domain mail.domino.xx
SMTPClient: Connection successful
SMTPClient: ReceiveResponse: 220 mx.extern.xx ESMTP
SMTPClient: CommandEHLO: EHLO mail.domino.xx
SMTPClient: ReceiveResponse: 250-mx.extern.xx
SMTPClient: ReceiveResponse: 250-PIPELINING
SMTPClient: ReceiveResponse: 250-SIZE 102400000
SMTPClient: ReceiveResponse: 250-ETRN
SMTPClient: ReceiveResponse: 250-STARTTLS
SMTPClient: ReceiveResponse: 250-AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5
SMTPClient: ReceiveResponse: 250-AUTH=PLAIN LOGIN DIGEST-MD5 CRAM-MD5
SMTPClient: ReceiveResponse: 250 8BITMIME
SMTPClient: SMTP Authentication is not required by local server.  empfaengername: -blank-
Router: Transferring mail to domain EXTRERN.XX (host mail.EXTRERN.XX [xxx.xxx.xxx.xxx]) via SMTP
SMTPClient: Attempting to SubmitMessage:
SMTPClient: Pipelined commands:
SMTPClient: MAIL FROM:<sender@domino.xx> BODY=8BITMIME SIZE=27510
SMTPClient: RCPT TO:<empfaenger@EXTRERN.XX>
SMTPClient: DATA
SMTPClient: End of pipelined commands
SMTPClient: ReceiveResponse: 250 Ok
SMTPClient: ReceiveResponse: 250 Ok
SMTPClient: ReceiveResponse: 354 End data with <CR><LF>.<CR><LF>
SMTPClient: Data Send Succeeded 25013 bytes
SMTPClient: ReceiveResponse: 250 Ok: queued as 6753741C8F20
SMTPClient: Attempting to Disconnect:
SMTPClient: CommandQUIT:
Router: Message 003B1DD8 transferred to mail.EXTRERN.XX for empfaenger@EXTRERN.XX from SENDER/domino-domain OFD9F81BFA:D6AAE953 ONC1257A1A:003B1DD8 Size: 25K via SMTP
SMTPClient: ReceiveResponse: 221 Bye
SMTPClient: Connection terminated successfully
Router: Transferred 1 messages to EXTRERN.XX (host mail.EXTRERN.XX) via SMTP
SMTPClient: Data Send Succeeded 3594173 bytes
SMTPClient: ReceiveResponse: 250 OK id=1Se27r-0006gw-IT
SMTPClient: Attempting to Disconnect:
SMTPClient: CommandQUIT:

Wie im Verbindungsprotokoll ersichtlich (erste Zeile - rote Schrift), wird scheinbar der Port 465 OHNE Verschlüsselung angesprochen, was wiederum gegen den Sinn von STARTTLS läuft.

Beim Simple Mail Transfer Protocol (SMTP) zeigt ein Server durch die Antwort STARTTLS an, dass die weitere Kommunikation aus seiner Sicht verschlüsselt erfolgen kann. Dieser Mechanismus wurde kurz darauf auch für das Internet Message Access Protocol (IMAP) und für das Post Office Protocol (POP) spezifiziert, bei letzterem mit dem abweichenden Schlüsselwort STLS.
Bei einer älteren Methode zur Einleitung der Verschlüsselung einer Verbindung zwischen Mailprogramm (Client) und Mailserver setzt diese Verhandlung bereits beim Verbindungsaufbau ein, indem die entsprechenden Ports angesprochen werden. In den Beispielen für Standardports kennzeichnet das jeweilige S hinter den Protokollbezeichnungen die abgesicherte Variante:
SMTP auf Port 25 bzw. 587 und SMTPS auf Port 465
IMAP auf Port 143 und IMAPS auf Port 993
POP3 auf Port 110 und POP3S auf Port 995
Im Gegensatz dazu beginnt eine Verbindung nach STARTTLS immer unverschlüsselt auf den für Klartext vorgesehenen Ports und führt diese auch nach Einigung und Umschaltung auf Verschlüsselung darauf fort. Ein essentieller Vorteil hierbei ist die Tatsache, dass die Peers, also die Verbindungspartner, die technischen Fähigkeiten beiderseits aushandeln können. Wird auf einem dedizierten SSL-Port eine Klartextverbindung aufgebaut, kommt es zwangsläufig zum Abbruch, in umgekehrter Kombination ebenso. Der Nutzer oder ein Admin muss nun eingreifen. Dank STARTTLS kann zum Beispiel der Client (ohne Nutzereingriff) wahrnehmen, dass der Server die Erweiterung bietet und automatisch Gebrauch davon machen. Im Alternativfall müsste der Client erst den dedizierten Port anvisieren, auf den Fristablauf warten und danach den Port für unverschlüsselte Kommunikation testen. (Quelle:WikipediA

Nach außen hin, präsentiert sich mein Domino wie folgt:

EHLO please-read-policy.mxtoolbox.com
250-mail.domino.xx Hello please-read-policy.mxtoolbox.com ([64.20.227.133]), pleased to meet you
250-TLS
250-HELP
250-VRFY
250-EXPN
250-AUTH LOGIN
250-STARTTLS
250-DSN
250-SIZE
250-8BITMIME
250 PIPELINING [156 ms]
MAIL FROM: <supertool@mxtoolbox.com>
250 supertool@mxtoolbox.com... Sender OK [172 ms]
RCPT TO: <test@example.com>
554 Relay rejected for policy reasons. [156 ms]
QUIT
221 mail.domino.xx SMTP Service closing transmission channel [156 ms]

Irgendwie gerät gerade meine Welt aus den Fugen.
Wie es ausschaut, scheint mein Domino richtig konfiguriert zu sein, nur kommt es eben dennoch zu dem Problem das SSL auf Port 465 nun doch nicht für die Verbindung zwischen zwei Mailservern genutzt wird ?  

LG
Stefan

[Tode]

Hast Du denn ein ssl- zertifikat angelegt und eingebunden? Also: hast Du dir eine kyr- Datei erstellt, die selbst signiert (oder signieren lassen), im serverdokument eingetragen, und dann alles neu gestartet? Ohne kyr kein ssl...

[DunkelHut]

Hast Du denn ein ssl- zertifikat angelegt und eingebunden? Also: hast Du dir eine kyr- Datei erstellt, die selbst signiert (oder signieren lassen), im serverdokument eingetragen, und dann alles neu gestartet? Ohne kyr kein ssl...

Hallo Torsten,

ich habe ein selbst erstelltes Zertifikat eingebunden und das kyr-file erstellt.
Das läuft auch schon eine Weile so, natürlich mit der Meldung "unsicher" da es ein selbsterstelltes Zertifikat ist.
Ich glaube, das man diese Fehlerursache ausschließen kann.

Inzwischen habe ich bei der Suche nach Antworten aber einen Artikel bei IBM gefunden...

How to configure Domino for secure SMTP sessions using STARTTLS

...und auf Grund dessen, bei Port 25 SMTP Ausgang, gemäß Vorgabe, vereinbartes SSL eingestellt und gleichsam aus dem Bauch heraus
SSL Port 465 bei SMTP Ausgang deaktiviert.

Die einzigste Einschränkung die ich nun habe ist, das wenn ich z.B. mit iNotes eine Mail mit einer zertifizierten Mailadresse öffnen will, ich im iNotes "Ungültiger HTTP-Status: 500 (Internal Server Error)" angezeigt bekomme und auf Grund dessen auch keinen Mailinhalt. Das tritt aber eben nur bei einer Mail von einer zertifizierten Mailadresse wie z.B. von DATEV auf.

Es kann auch gut sein das dieses Problem auch schon seit meiner Umstellung von Domino 8.5.2 auf 8.5.3 existiert und mir das nur nicht aufgefallen ist, eben weil so wenig Absender mit einer zertifizierten Mailadresse daherkommen...

Was mich natürlich geärgert hat ist, dass ich mich bei der Konfiguration da auch mit Rückfragen abgesichert habe und nun nach all der Zeit dennoch über so einen peinlichen Konfigurationsfehler gestolpert bin...

Trotz des nun behobenen Konfigurationsfehlers, passt da irgend etwas noch nicht...
Sonst würde ja der Fehler "Ungültiger HTTP-Status: 500 (Internal Server Error)" bei zertifizierten Mailadressen nicht kommen...

Ich weiß im Moment nur noch nicht wo ich den Hebel ansetzen soll.

Wie ist es denn bei euch mit dem Port 465 ?

Bei mir hängt da außer einer Hardwarefirewall und einer Softwarefirewall auch nix weiter dazwischen.
Den Server betreibe ich direkt über eine feste IP und bei beiden FireWalls sind ist Port 465 durchgeschaltet.

LG
Stefan