Mailstation und SMTP-Versand über Port 465

[wweichselg]

Hallo zusammen,

nachdem ich vermehrt Einträge von geblockten IP-Adressen in meinem Protokoll der DS312+ feststellen musste, habe ich mich entschieden, den Port 25 nicht mehr zum SMTP-Versand zu verwenden.

Im Mailserver habe ich daher SMTP-SSL aktiviert. In der Konfiguration meiner Clients (iPhone, iPad, emClient unter Windows) habe ich jeweils "SSL verwenden" bzw. "SSL/TSL verwenden" und der Server-Port 465 angegeben, in den Portfreigaben des Routers habe ich dne Port 465 weitergereicht an die Diskstation - und es funktioniert wie gewünscht.

Aktiviere ich bei den SMTP-Einstellungen der Mailstation "Sichere SMTP TLS-Verbindung aktivieren" und den Port 465 ein, so "hängt" sich der Sendevorgang auf, d. h. die Meldung "Mail wird versendet" erscheint und es passiert nicht weiteres mehr. Der Versand findet auch nicht statt.

Hat dazu jemand eine Idee?

 

[jahlives]

du solltest auf den Port 587 ausweichen für den Versand. Das mit dem Port 465 ist so eine Sache, weil es längst nicht jeder Client unterstützt. Port 587 und STARTTLS sollte aber jeder halbwegs aktuelle Client können

 

[wweichselg]

Hallo jahlives,

den Port 587 hatte ich zuerst probiert - darauf scheint die Diskstation aber nicht zu reagieren. Ich habe bei keinem der genannten Clients von der DS eine Antwort bekommen. Daher der Weg über den Port 465. Gibt's in den Einstellungen der DS eine Möglichkeit, den Port für SSL festzulegen? Ich habe sie nicht gefunden.

 

[jahlives]

bist du denn sicher, dass die DS überhaupt an Port 465 lauscht? Könnte es sein, dass dein Client zickt, weil du ein selbst signiertes Zertifikat resp das Standartzertifikat der DS verwendest? Falls ja könnte es gut sein, dass der Client beim Senden "hängen" bleibt weil er dem Zertifikat nicht traut. Habe schon viele Clients gesehen, die nicht immer die Zertifikatswarnung angezeigt haben in diesen Fällen

 

[wweichselg]

ja, die DS reagiert auf den Port 465, da ich "von aussen" komme und den Port 25 zugemacht habe. Ich habe die Portweiterleitungen im Router 25, 587 und 465 nacheinander freigegeben und getestet. Port 25 springt an - aber den will ich ja nicht mehr verwenden, bei 587 bekomme ich definitiv die Meldung, dass der Server nicht erreicht werden kann (alle Clients, siehe nachfolgend) und Port 465 geht bei emClient, iPhone iOS 6.1.3, iPad iOS 6.1.3 sowie Outlook 2007 - leider nicht bei der MailStation.

Ich findes es schon komisch, dass wenn man in der MailStation auf "SSL" umschaltet, der Port 587 vorbelegt wird, der dann aber augenscheinschlich vom MailServer nicht bedient wird ...

 

[jahlives]

wenn du auf der DS auch Mails von extern empfangen können willst, dann musst du Port 25 so oder so offen haben ;-) sonst kann dir niemand Mails schicken
Woher weisst du ob sich der Mailserver an den Port gebunden hat oder nicht? Mit netstat nachgeguckt?

 

[wweichselg]

Ich habe einen Mail-Server bei einem Provider, der die offizielle Domain hostet (feste IP). Hiervon hole ich über die MailStation 2 über fetchmail die entsprechenden Accounts ab. Es gibt also keinen echten externen Maileingang auf die DS. Zum Versenden habe ich im Mailserver SMTP Relay aktiviert und gehe somit auch wieder über den Provider. Das funktioniert auch alles wunderbar (bis auf die "Hänger" der fetchmail-Jobs, die regelmäßig auftreten (siehe separten Thread dazu).

Das Binden an den Port, denke ich, dass ich über die Portfreigaben im Router, abgesichert habe.

Um den Port 25 geschlossen halten zu können, habe ich jetzt mal eine provisorische Lösung eingerichtet. In der MailStation 2, die anscheinend nur den Port 25 "verwenden will" in Kombination mit dem Mailserver, habe ich eine andere beliebige Port-Adresse angegeben (bspw. 12335), den ich über die Portfreigaben dann wieder auf den Port 25 intern umlenke. Ist zwar noch nicht die feine, eigentlich angestrebe Lösung, aber die verschleiert den offensichtlichsten "Angriffspunkt", Port 25 von extern, zumindest .

 

[jahlives]

ich versteh dein Problem immer weniger Wieso muss deine Mailstation (Webmail/Roundcube) via SSL auf den Mailserver auf der DS zugreifen? SSL verwendet man eigentlich um ManInTheMiddle Attacken zu verhindern. Nur würde der Zugriff von Roundcube (Mailstation) auf den Mailserver der DS via localhost Interface ablaufen (laufen ja beide auf derselben Maschine). Und wenn du einen ManInTheMiddle auf deinem localhost Interface hast, dann ist Mail noch dein kleinstes Problem. Dann wärst du so was von gehackt, dass es nicht mehr schön ist ;-)

Ich würde also im Roundcube als Server IP 127.0.0.1 und Port 25 verwenden. Dann schickt RC an deine DS und deine DS schickt an den Relay beim Provider für die externe Zustellung

 

[wweichselg]

Ich ergänze meine letzten Ausführungen ... wie gesagt, nutze ich als "inhouse"-Client den emClient als Alternative zu Outlook, Outlook express oder MS Mail. Zusätzlich habe ich um von aussen auf meine Mails zugreifen zu können und welche zu versenden, Apple-Devices im Einsatz. Da ich geschäftlich auch im Ausland unterwegs bin, von wo aus ich nicht immer mit den Apple-Geräten über Roaming bzw. WLAN auf meine Mails zugreifen zu können, habe ich den WebClient der Mailstation 2 im Einsatz.

Die Idee mit localhost hat sich gut gelesen - ich habe sie auch ausprobiert. Diese funktioniert aber nur, wenn ich mich im LAN bzw. VPN-Netzwerk (und damit auch quasi im LAN) befinde.
Sie funktioniert jedoch nicht, wenn ich den Mailstation 2 WebClient komplett von aussen (erreichbar über eine "nur mir" bekannte DDNS-Adresse) heraus anspreche. Und das wäre meine eben angesprochene Auslands-Umgebung ...