• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Gelöst ausgehende E-Mails an *@mail.de

J

JensK

Member
Hallo,

mir haben Kollegen heute gemeldet, dass sie keine E-Mails an *@mail.de senden können. Wie ich anhand der Logs feststellen konnte, scheint das seit dem 1.8.2024 so zu sein. Man erhält den Fehler:

xxx@mail.de - 553 5.7.3 A secured connection (either via StartTLS or SMTPS) is required for this recipient.
Zum Vergrößern anklicken....

Nun ist unserer ausgehender Sendekonnektor seit eh und je (meines Erachtens) nach Standard angelegt, andere ausgehende Sendekonnektoren haben wir nicht

Code: 
Default connector for outbound mails
   * Kosten: 100
   * Routing-Methode:
     (x) Direkte Zustellung (DNS)
   * Sicherheit der Transportschicht:
     (x) Erlaube STARTTLS (empfohlen)
   * Client-Identität
     [x] Nutze eine Client-Identität zu Authentifizierung
         (x) Nutze ein bestimmtes Zertifikat
     [ ] Falls kein passendes Zertifikat verfügbar ist, wird die Zustellung verhindert
   * DNS-Routingeinschränkung
     Sender: *
     Ziel: *

Da ich mir das Problem nicht erklären konnte, habe ich einen zweiten ausgehenden Sendekonnektor angelegt und bei der Transportschicht "Verlange STARTTLS" bzw. in "Verlange SMTPS" eingeschaltet und diesen Konnektor auf das Ziel *@mail.de beschränkt sowie mit niedrigeren Kosten als den o.g. versehen. Laut Logfile zieht dieser Konnektor auch, aber eine Zustellung funktioniert trotzdem nicht.

Ich habe sicherheitshalber noch ein Update vom NSP 14.0.2 auf 15.0.0.222 durchgeführt - hat aber auch nichts verändert. Der Messagetrack sieht so aus:

JSON: 
{
  "productInformation": {
    "name": "NoSpamProxy",
    "version": "15.0.0.222",
    "components": [
      {
        "name": "Management services",
        "version": "15.0.24045.1609"
      },
      {
        "name": "Identity Service",
        "version": "1.2.4"
      },
      {
        "name": "Gateway Role",
        "version": "15.0.24045.1609"
      },
      {
        "name": "Message Tracking Service",
        "version": "1.2.6"
      },
      {
        "name": "Intranet Role",
        "version": "15.0.24045.1609"
      },
      {
        "name": "WebApp Hosting Service",
        "version": "1.3.2"
      },
      {
        "name": "WebApp",
        "version": "1.2.2539.0"
      },
      {
        "name": "PowerShell",
        "version": "15.0.24045.1609"
      },
      {
        "name": "NoSpamProxy Command Center",
        "version": "15.0.24045.1609"
      }
    ]
  },
  "sender": {
    "localPart": "my-user",
    "domain": "my-company.de"
  },
  "headerFrom": {
    "localPart": "my-user",
    "domain": "my-company.de"
  },
  "transactionId": "75e5ed38-2756-4b1c-a90f-9baf26220a25",
  "mailId": "75e5ed38-2756-4b1c-a90f-9baf26220a25",
  "messageId": "<6083dfa307054a599d8120b03df7a6fa@my-company.de>",
  "size": 6004,
  "subject": "Test",
  "signed": "None",
  "encrypted": "None",
  "tlsProtocol": "Tls12",
  "sent": "2024-08-16T13:14:59.097+02:00",
  "processingTime": "00:00:00.5900000",
  "status": "DispatcherError",
  "ruleName": "All outbound emails",
  "scl": 0,
  "validationStatus": "Pass",
  "rejectReason": "None",
  "processingGatewayRole": "SVR188",
  "receiveConnectorName": "SMTP on all addresses",
  "clientIPAddress": "192.168.12.34",
  "wasReceivedFromRelayServer": true,
  "detailsWereDeleted": false,
  "urlSafeguardInfoWasDeleted": false,
  "firstDeliveryAttempt": "2024-08-16T13:14:59.097+02:00",
  "deliveryDuration": "00:00:01",
  "senderCertificateValidationFlags": "RevocationStatusUnknown, OfflineRevocation",
  "senderCertificate": {
    "thumbprint": "xxxxxxxxxxxxxxxxxxxxxxxxxxxx",
    "subject": "CN=s-exch02.abc.my-company.net",
    "issuer": "CN=JSW-CA, DC=abc, DC=my-company, DC=net",
    "serialNumber": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
    "validFrom": "2024-05-13T22:37:34+02:00",
    "validTo": "2025-02-26T14:35:07+01:00"
  },
  "deliveryAttempts": [
    {
      "recipient": "xxx@mail.de",
      "deliveryDate": "2024-08-16T13:14:59.097+02:00",
      "status": "DeliveryPending",
      "dane": "None",
      "tlsProtocol": "None",
      "statusMessage": ""
    },
    {
      "recipient": "xxx@mail.de",
      "deliveryDate": "2024-08-16T13:15:00.08+02:00",
      "status": "DispatcherError",
      "dane": "None",
      "tlsProtocol": "None",
      "statusMessage": "5.7.3 A secured connection (either via StartTLS or SMTPS) is required for this recipient.",
      "targetHost": "62.201.172.19:25",
      "sendConnector": "mail.de verlangt STARTSSL oder SMTPS"
    }
  ],
  "levelOfTrust": {
    "domainBonus": 0,
    "addressPairingBonus": 0,
    "messageIdBonus": 0,
    "subjectBonus": 0,
    "dsnPoints": 0,
    "mailIsTrusted": false,
    "scl": 0,
    "senderDomainIsFreeMailer": false,
    "isSenderAuthenticated": false,
    "addressPairingIsWildcardEntry": false,
    "wasHeaderFromAddressUsedForValidation": false
  },
  "actions": [
    {
      "name": "Inhaltsfilter",
      "time": "00:00:00",
      "decision": "Pass"
    },
    {
      "name": "DKIM-Signatur anwenden",
      "time": "00:00:00.0100000",
      "decision": "Pass"
    },
    {
      "name": "Verberge Topologie des Unternehmens",
      "time": "00:00:00",
      "decision": "Pass"
    },
    {
      "name": "Malware-Scanner",
      "time": "00:00:00.0300000",
      "decision": "Pass"
    },
    {
      "name": "32Guards",
      "time": "00:00:00.4300000",
      "decision": "Pass"
    }
  ],
  "filters": [
    {
      "name": "32Guards",
      "time": "00:00:00.4300000",
      "scl": 0
    }
  ],
  "operations": [
    {
      "created": "2024-08-16T13:15:48.02+02:00",
      "operation": {
        "idStr": "9023558194774637556",
        "type": "Heimdall",
        "data": "{\"$type\":\"HeimdallValidationEntry\",\"aggregatedAction\":\"None\",\"aggregatedEmailResult\":{\"action\":\"None\"},\"emailResults\":[],\"aggregatedAttachmentResult\":{\"action\":\"None\"},\"attachmentResults\":[],\"aggregatedUrlResult\":{\"action\":\"None\"},\"urlResults\":[],\"typeName\":\"Heimdall\"}"
      }
    },
    {
      "created": "2024-08-16T13:15:48.02+02:00",
      "operation": {
        "idStr": "-5606542180472989225",
        "type": "MalwareScan",
        "data": "{\"$type\":\"MalwareScanValidationEntry\",\"action\":\"Pass\",\"infectedMailParts\":[],\"availableScanners\":\"Filebased, Integrated\",\"hasAdministrativeNotificationBeenSent\":false,\"typeName\":\"MalwareScan\"}"
      }
    }
  ]
}

Ich habe gerade keine Idee, wo ich noch nach der Ursache suchen kann. Habt ihr einen Tipp?

Vielen Dank im Voraus!
Jens
 
Zuletzt bearbeitet:
Moin,
Ich habe gerade keine Idee, wo ich noch nach der Ursache suchen kann. Habt ihr einen Tipp?
Zum Vergrößern anklicken....
Hast du auf deiner Seite (sprich NSP Gateway Rolle) die TLS bzw. Cipher Suites angepasst? So dass kein Cipher gefunden wird, den beide Seiten verwenden können.


Gruß
Dani
 
869288141 schrieb:
Hast du auf deiner Seite (sprich NSP Gateway Rolle) die TLS bzw. Cipher Suites angepasst? So dass kein Cipher gefunden wird, den beide Seiten verwenden können.
Zum Vergrößern anklicken....

Nein, wir haben nichts geändert. Der Server mit NoSpamProxy läuft seit Monaten - bis auf die Windows-Updates - unverändert.

Ich habe nun nochmal getestet. Jetzt funktioniert es mit dem zusätzlichen Konnektor, in dem ich "Verlange STARTTLS" eingestellt habe. Möglicherweise hatte ich bei meinen ersten oben beschriebenen Tests nicht immer die Gatewayrolle neu gestartet. Ich frage mich allerdings, warum es nicht auch trotzdem mit dem Default connector funktioniert, der ja auf "Erlaube STARTTLS" steht.

Da das Problem seit ca. 1.8.2024 auftritt, vermute ich ja fast, dass es auch eine Änderung bei mail.de gegeben haben könnte. Hat vielleicht jemand von Euch Erfahrungen speziell mit diesem Provider, der jetzt anscheinend eine Sonderbehandlung benötigt?

Jens
 
Guten Morgen Jens,

Erfahrung habe ich selbst leider keine mit mail.de
Du könntest das Troubleshooting log einmal aktivieren und schauen ob der TLS Handshake wirklich sauber stattgefunden hat.
Dafür würde ich folgende Kategorien an machen:
- Certificate Management
- DNS Service
- Keymanagement
- Mail delivery service
- Network connections
- Proxy System

Bitte schalte dies nur zum testen ein da es sehr viel log erzeugen wird.


Gruß
Jan
 
JanJäschke schrieb:
Du könntest das Troubleshooting log einmal aktivieren und schauen ob der TLS Handshake wirklich sauber stattgefunden hat.
Dafür würde ich folgende Kategorien an machen:
Zum Vergrößern anklicken....

Vielen Dank für die Hinweise zum Troubleshooting log. Ich wollte es gleich am Montag testen, aber das kuriose ist, dass es jetzt auch ohne den "Sonder-Sendekonnektor" für mail.de funktioniert. Ich habe die Logs der letzten drei Tage beobachtet und alle Mails an diesen Provider wurden problemlos zugestellt. Das ist mir sehr rätselhaft, warum vom ~1.8. bis ~16.8.2024 die STARTTLS-Verbindungen nicht funktionierten. Vielleicht lag es ja auch "nur" an mail.de selbst - wobei das ein recht langer Zeitraum wäre.

Viele Grüße
Jens
 
JensK schrieb:
warum vom ~1.8. bis ~16.8.2024 die STARTTLS-Verbindungen nicht funktionierten
Zum Vergrößern anklicken....
Na was mich wundert und was man eigtl nicht braucht, du hattest am ursprünglichen Konnektor eingerichtet, dass deine TLS Client Identy mit gesendet wird... damit kommen einige Mailserver nicht klar und ergibt in der Regel auch keinen Sinn.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

S
NSP hinter SophosXG
Antworten
4
Aufrufe
3K
StefanCink
StefanCink
H
Mails werden abgelehnt
Antworten
5
Aufrufe
1K
JanJäschke
JanJäschke
C
V13 DKIM Prüfung bestanden und gleichzeitig fehlgeschlagen
2
Antworten
24
Aufrufe
9K
ffischer
F
H
Anderer Kunde Problem mit antworten auf MAils
Antworten
3
Aufrufe
3K
ffischer
F
Zurück
Oben