Must issue a STARTTLS command first

[utiuti]

Moin Moin,

Kunde bekommt folgende Meldung:

Error transferring to XXX.DE; SMTP Protocol Returned a Permanent Error 530 #5.7.0 Must issue a STARTTLS command first

                                               

System läuft auf Domino 9.0.1 FP9 mit aktuellem HF.
Zertifikate sind auf beiden Seiten korrekt.
Problem ist das der gegenerische E-Mail Server sofort TLS haben will (also schon auf das HELO die Fehlermeldung ausgibt).
Finde da keinen Parameter im Domino.
SSL ist Negotiated.

Komme ich da mit irgendwelchen Einstellungen weiter?

[Christian Kröll]

Was hebt Ihr den bei TCPIP Portstatus und bei SSL-Portstatus im Serverdokument stehen?

[utiuti]

Hallo Christian,

danke für die Antwort.

SMTP Inbound
TCP/IP Port Status Enabled
SSL Port Status Enabled

SMTP Outbound
TCP/IP Port Status Enabled
SSL Port Status Disabled

Huch, ich kenne es bei "Outbound TCP/IP Port Status" nur mit "Negotiated SSL".
Ich dachte immer "Enabled" würde SSL erzwingen, aber dann sollte ja der Fall den ich beschrieben habe gar nicht auftreten.
Ich muss da noch mal genauer lesen. Da habe ich etwas falsch verstanden.
Wenn Jemand die Problematik aufklären möchte... Feuer frei!

PS: Es gab ja noch im Konfig Dokument unter "Router/SMTP" -> "Advanced" -> "Commands and Extensions" die Option "SSL negotiated over TCP/IP port:". Dort konnte man auch required setzen. Das war dann das "erzwingen".
Diese Fragmentierung in den Server/Konfigdokumenten macht mich Wahnsinnig!

[Manfred W.]

Hallo,

du musst bei SMTP Outbound den TCP/IP Port Status von "Enabled" auf "Negotiated SSL" ändern. Dann tut der Domino Server genau das, was die Gegenseite erwartet.
Mit "Enabled" aktivierst du ja nur den SMTP Port 25, der prinzipiell unverschlüsselt ist. Mit "Negotiated SSL" sendet der Domino Server den STARTTLS Befehl, wenn die Gegenseite diese Option anbietet, um die Verbindung dann zu verschlüsseln.

Im Konfig Dokument steuerst du das Verhalten bei eingehenden Verbindungen. Mit SSL negotiated over TCP/IP port "Enabled" bietet der Domino Server dem sendenden Server die Option STARTTLS an. Mit "Required" macht der Domino Server genau das, was die Gegenseite macht: wenn der sendende Server den STARTTLS Befehl nicht sendet, wird die Verbindung abgebrochen. Das verhindert, dass Mails über eine unverschlüsselte Verbindung übertragen werden.

Das ist übrigens heute der Standard, dass man den (eigentlich unverschlüsselten) Port 25 per STARTTLS nachträglich verschlüsselt. Der (grundsätzlich verschlüsselte) SMTPS Port 465 spielt eigentlich keine Rolle mehr. Den kannst du getrost auf Disabled lassen.

Was viele nicht wissen: Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat bereits im März 2014 TLS zum Stand der Technik erklärt. Seitdem ist die Unterstützung von STARTTLS bei Mailservern von deutschen Firmen eigentlich verpflichtend! Das Bayerische Landesamt für Datenschutzaufsicht hat im Herbst 2014 auch stichprobenartig Mailserver von bayerischen Firmen überprüft (auf Unterstützung von STARTTLS, Unterstützung von Perfect Forward Secrecy und ob die Heartbleed-Lücke geschlossen ist).
https://www.golem.de/news/bayern-datenschutzbeauftragter-mahnt-mangelnde-verschluesselung-an-1409-109260.html
Wir haben damals auch einen Brief bekommen (unser Gateway unterstützte damals noch kein PFS)

Grüße
Manfred

[utiuti]

Danke nochmal für die Erklärung!
Die "Negotiated" Einstellung hatte ich dann gesetzt.
Die Prüfung steht noch aus.

Der Hinweis auf Port 465 war aber Hilfreich,
ich hatte mich immer gewundert warum der nicht aktiviert war.

Nochmal danke an alle!