mail mit nail + 1und1.de

[deltanine]

Hallo,

die Provider in Deutschland stellen ja langsam auf SSL oder besser um. So auch 1&1 ...

Ich hatte seit geraumer Zeit für Statusmeldungen und Logging folgende Konfiguration in der /opt/etc/nail.rc laufen:

set smtp=smtp.1und1.de:587
set from={myuser}@{mydomain}.com
set smtp-use-starttls
set smtp-auth=login
set smtp-auth-user={myuser}@{mydomain}.com
set smtp-auth-password={mypassword}
set ssl-verify=ignore

Nachdem das ja "TLS" wäre wähnte ich den Vorgang als stabil, und bis zum Februar lief das gut. Seitdem fliegt nail immer mit einem deutlichen

501: AUTH 5.5.2 could not decode

'raus. Ich hab dann mal auf ein anderes Konto bei einem anderen Provider umgeleitet, der nachweislich auch TLS macht (geht problemlos), möchte aber jetzt den Mailkreisel beseitigen und die Nachrichten wieder bei 1und1 unterbringen.

Hat jemand schon Erfahrungen was man bei nail für 1und1.de neuerdings einstellt?

Im Voraus vielen Dank
Edgar

 

[jahlives]

hast du ein Linux zur Hand? Falls ja probier mal zum Testen

openssl s_client -connect smtp.1und1.de:587 -starttls smtp

Bist du zudem sicher, dass 1+1 die login Methode zulässt? Kenne einige Provider die machen nur plain

 

[deltanine]

hast du ein Linux zur Hand?

nur eines

openssl s_client -connect smtp.1und1.de:587 -starttls smtp

verbinden tut er's, aber der Mailserver bietet kein Prompt a la Dovecot an:

CONNECTED(00000003)
depth=2 /C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/C=DE/ST=Rhineland-Palatinate/L=Montabaur/O=1 und 1 Internet AG/CN=smtp.1und1.de
   i:/C=US/O=Thawte, Inc./CN=Thawte SSL CA
 1 s:/C=US/O=Thawte, Inc./CN=Thawte SSL CA
   i:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
 2 s:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
   i:/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
---
Server certificate
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----
subject=/C=DE/ST=Rhineland-Palatinate/L=Montabaur/O=1 und 1 Internet AG/CN=smtp.1und1.de
issuer=/C=US/O=Thawte, Inc./CN=Thawte SSL CA
---
No client certificate CA names sent
---
SSL handshake has read 3775 bytes and written 488 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: ...
    Session-ID-ctx: 
    Master-Key: ...
    Key-Arg   : None
    Start Time: 1392734645
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---
250 HELP

Eigentlich hatte ich da jetzt irgendwas von wegen "Nemesis" erwartet... aber er steht, nimmt keinen user/pass an dem man ihm gibt und wartet auf das Timeout... siehe da

421 smtp.1und1.de connection timed out

 

[jahlives]

ähm wieso sollte dovecot bei smtp antworten?? Das ist SMTP und nicht IMAP(S)
Wenn du dovecot resp imap willst dann -starttls imap als Parameter. Schick aber mal beim SMTP Test ein EHLO test.gmail.com das sollte dir die Methoden des Servers anzeigen. Dort sollte login als Antwort kommen

 

[deltanine]

...klar - IMAP war nicht auf der Agenda - war nur ein Beispiel weil eben "niemand" antwortet.
siehe das EHLO mit dem time out am Ende:

syno412> openssl s_client -connect smtp.1und1.de:587 -starttls smtp
CONNECTED(00000003)
depth=2 /C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
... (siehe oben)
---
Server certificate
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
subject=/C=DE/ST=Rhineland-Palatinate/L=Montabaur/O=1 und 1 Internet AG/CN=smtp.1und1.de
issuer=/C=US/O=Thawte, Inc./CN=Thawte SSL CA
---
No client certificate CA names sent
---
SSL handshake has read 3775 bytes and written 488 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: 62DEEBB46586E12FDF241B33E90B454D9E8EAC8F087381C2613E2B2D90F8559B
Session-ID-ctx:
Master-Key: 8E017CA0A9AA7A0D9BFF878C8B246F5E07EA7AE73F804FD05CFEB9BC4214FC5BBCBD444D047CA48FAD64C82DF39E8438
Key-Arg : None
Start Time: 1392736350
Timeout : 300 (sec)
Verify return code: 20 (unable to get local issuer certificate)
---
250 HELP
EHLO test.gmail.com
421 smtp.1und1.de connection timed out

 

[jahlives]

Ich probiers von mir zu Hause aus, sobald ich mit dem Hundi zurück bin

 

[jahlives]

habs gerade getestet. Bei Port 587 und STARTTLS bekomme ich auch diese Timeouts. Direkt auf Port 465 ohne STARTTLS geht's aber problemlos

New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 0432E74B11C0CFF77291501531EDAE3CC74BFA788850599AA19B041E1B819F24
    Session-ID-ctx: 
    Master-Key: D43D9225AAF380C1BC2EA2189F72C7B55006D82883D2805DD8148F7278476F828E409701A8A2E05E6B0DAE9C2A1C81AD
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1392743073
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
220 smtp.1und1.de (mreue004) Welcome to Nemesis ESMTP server

 

[deltanine]

habs gerade getestet. Bei Port 587 und STARTTLS bekomme ich auch diese Timeouts. Direkt auf Port 465 ohne STARTTLS geht's aber problemlos

Gemäß der Doku von 1und1 wären möglich:
SMTP + TLS/STARTTLS + Port 587
oder
SMTP + SSL + Port 465

Interessant ist: dein openssl verbindet mit TLSv1.2, das der Syno mit TLSv1, die Ciphers sind unterschiedlich, bei dir kommt noch ein Verify return code: 0 , und das TimeOut kommt dann trotzdem:

openssl s_client -connect smtp.1und1.de:465

New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: AED28C9BB0F2752109F9E18C09D16F70DCC6A2F6E777E6FA5DD0604E24B396FE
Session-ID-ctx:
Master-Key: A507995F7BFAF34D896C5E0AEFBDC9A93363423B435899411FE4FE4D09CEBAA503A78622F01536A85D5E3E607C6BF9BD
Key-Arg : None
Start Time: 1392757615
Timeout : 300 (sec)
Verify return code: 20 (unable to get local issuer certificate)
---
220 smtp.1und1.de (mreue005) Welcome to Nemesis ESMTP server

... Nemesis hat sich gemeldet -- also mit EHLO weiter:

EHLO {myuser}@{mydomain}.com

... Schweigen im Walde ... wir warten die Sekunden...

421 smtp.1und1.de connection timed out
closed

 

[jahlives]

mein Test ist von einem Fedora aus -)
welche TLS Ciphre verwendet wird hängt von der openssl Lib auf deinem System ab. Server und Client einigen sich dabei immer auf den kleinsten gemeinsamen Nenner
Gib auf deinem System mal

openssl ciphers

ein und du solltest eine Liste der von deiner openssl Lib unterstützten Ciphern bekommen
Der Verify 0 kommt wenn der Client das Zertifikat des Servers anhand seiner Trustchain verifizieren konnte. Scheinbar fehlt da was in der Trustchain auf der DS
Probier dir mal das CA Cert welches 1und1 verwendet hat zu besorgen, müsstest du von denen bekommen können. Dann pack es in ein File und gib das File dem openssl Kommando als Parameter

openssl s_client -connect smtp.1und1.de:465 -CAfile /pfad/zum/1und1CA.crt

verändert sich dann was beim verify Code?