• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Gelöst ausgehende E-Mails an *@mail.de

JensK

Member
Hallo,

mir haben Kollegen heute gemeldet, dass sie keine E-Mails an *@mail.de senden können. Wie ich anhand der Logs feststellen konnte, scheint das seit dem 1.8.2024 so zu sein. Man erhält den Fehler:

xxx@mail.de - 553 5.7.3 A secured connection (either via StartTLS or SMTPS) is required for this recipient.

Nun ist unserer ausgehender Sendekonnektor seit eh und je (meines Erachtens) nach Standard angelegt, andere ausgehende Sendekonnektoren haben wir nicht

Code:
Default connector for outbound mails
   * Kosten: 100
   * Routing-Methode:
     (x) Direkte Zustellung (DNS)
   * Sicherheit der Transportschicht:
     (x) Erlaube STARTTLS (empfohlen)
   * Client-Identität
     [x] Nutze eine Client-Identität zu Authentifizierung
         (x) Nutze ein bestimmtes Zertifikat
     [ ] Falls kein passendes Zertifikat verfügbar ist, wird die Zustellung verhindert
   * DNS-Routingeinschränkung
     Sender: *
     Ziel: *

Da ich mir das Problem nicht erklären konnte, habe ich einen zweiten ausgehenden Sendekonnektor angelegt und bei der Transportschicht "Verlange STARTTLS" bzw. in "Verlange SMTPS" eingeschaltet und diesen Konnektor auf das Ziel *@mail.de beschränkt sowie mit niedrigeren Kosten als den o.g. versehen. Laut Logfile zieht dieser Konnektor auch, aber eine Zustellung funktioniert trotzdem nicht.

Ich habe sicherheitshalber noch ein Update vom NSP 14.0.2 auf 15.0.0.222 durchgeführt - hat aber auch nichts verändert. Der Messagetrack sieht so aus:

JSON:
{
  "productInformation": {
    "name": "NoSpamProxy",
    "version": "15.0.0.222",
    "components": [
      {
        "name": "Management services",
        "version": "15.0.24045.1609"
      },
      {
        "name": "Identity Service",
        "version": "1.2.4"
      },
      {
        "name": "Gateway Role",
        "version": "15.0.24045.1609"
      },
      {
        "name": "Message Tracking Service",
        "version": "1.2.6"
      },
      {
        "name": "Intranet Role",
        "version": "15.0.24045.1609"
      },
      {
        "name": "WebApp Hosting Service",
        "version": "1.3.2"
      },
      {
        "name": "WebApp",
        "version": "1.2.2539.0"
      },
      {
        "name": "PowerShell",
        "version": "15.0.24045.1609"
      },
      {
        "name": "NoSpamProxy Command Center",
        "version": "15.0.24045.1609"
      }
    ]
  },
  "sender": {
    "localPart": "my-user",
    "domain": "my-company.de"
  },
  "headerFrom": {
    "localPart": "my-user",
    "domain": "my-company.de"
  },
  "transactionId": "75e5ed38-2756-4b1c-a90f-9baf26220a25",
  "mailId": "75e5ed38-2756-4b1c-a90f-9baf26220a25",
  "messageId": "<6083dfa307054a599d8120b03df7a6fa@my-company.de>",
  "size": 6004,
  "subject": "Test",
  "signed": "None",
  "encrypted": "None",
  "tlsProtocol": "Tls12",
  "sent": "2024-08-16T13:14:59.097+02:00",
  "processingTime": "00:00:00.5900000",
  "status": "DispatcherError",
  "ruleName": "All outbound emails",
  "scl": 0,
  "validationStatus": "Pass",
  "rejectReason": "None",
  "processingGatewayRole": "SVR188",
  "receiveConnectorName": "SMTP on all addresses",
  "clientIPAddress": "192.168.12.34",
  "wasReceivedFromRelayServer": true,
  "detailsWereDeleted": false,
  "urlSafeguardInfoWasDeleted": false,
  "firstDeliveryAttempt": "2024-08-16T13:14:59.097+02:00",
  "deliveryDuration": "00:00:01",
  "senderCertificateValidationFlags": "RevocationStatusUnknown, OfflineRevocation",
  "senderCertificate": {
    "thumbprint": "xxxxxxxxxxxxxxxxxxxxxxxxxxxx",
    "subject": "CN=s-exch02.abc.my-company.net",
    "issuer": "CN=JSW-CA, DC=abc, DC=my-company, DC=net",
    "serialNumber": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
    "validFrom": "2024-05-13T22:37:34+02:00",
    "validTo": "2025-02-26T14:35:07+01:00"
  },
  "deliveryAttempts": [
    {
      "recipient": "xxx@mail.de",
      "deliveryDate": "2024-08-16T13:14:59.097+02:00",
      "status": "DeliveryPending",
      "dane": "None",
      "tlsProtocol": "None",
      "statusMessage": ""
    },
    {
      "recipient": "xxx@mail.de",
      "deliveryDate": "2024-08-16T13:15:00.08+02:00",
      "status": "DispatcherError",
      "dane": "None",
      "tlsProtocol": "None",
      "statusMessage": "5.7.3 A secured connection (either via StartTLS or SMTPS) is required for this recipient.",
      "targetHost": "62.201.172.19:25",
      "sendConnector": "mail.de verlangt STARTSSL oder SMTPS"
    }
  ],
  "levelOfTrust": {
    "domainBonus": 0,
    "addressPairingBonus": 0,
    "messageIdBonus": 0,
    "subjectBonus": 0,
    "dsnPoints": 0,
    "mailIsTrusted": false,
    "scl": 0,
    "senderDomainIsFreeMailer": false,
    "isSenderAuthenticated": false,
    "addressPairingIsWildcardEntry": false,
    "wasHeaderFromAddressUsedForValidation": false
  },
  "actions": [
    {
      "name": "Inhaltsfilter",
      "time": "00:00:00",
      "decision": "Pass"
    },
    {
      "name": "DKIM-Signatur anwenden",
      "time": "00:00:00.0100000",
      "decision": "Pass"
    },
    {
      "name": "Verberge Topologie des Unternehmens",
      "time": "00:00:00",
      "decision": "Pass"
    },
    {
      "name": "Malware-Scanner",
      "time": "00:00:00.0300000",
      "decision": "Pass"
    },
    {
      "name": "32Guards",
      "time": "00:00:00.4300000",
      "decision": "Pass"
    }
  ],
  "filters": [
    {
      "name": "32Guards",
      "time": "00:00:00.4300000",
      "scl": 0
    }
  ],
  "operations": [
    {
      "created": "2024-08-16T13:15:48.02+02:00",
      "operation": {
        "idStr": "9023558194774637556",
        "type": "Heimdall",
        "data": "{\"$type\":\"HeimdallValidationEntry\",\"aggregatedAction\":\"None\",\"aggregatedEmailResult\":{\"action\":\"None\"},\"emailResults\":[],\"aggregatedAttachmentResult\":{\"action\":\"None\"},\"attachmentResults\":[],\"aggregatedUrlResult\":{\"action\":\"None\"},\"urlResults\":[],\"typeName\":\"Heimdall\"}"
      }
    },
    {
      "created": "2024-08-16T13:15:48.02+02:00",
      "operation": {
        "idStr": "-5606542180472989225",
        "type": "MalwareScan",
        "data": "{\"$type\":\"MalwareScanValidationEntry\",\"action\":\"Pass\",\"infectedMailParts\":[],\"availableScanners\":\"Filebased, Integrated\",\"hasAdministrativeNotificationBeenSent\":false,\"typeName\":\"MalwareScan\"}"
      }
    }
  ]
}

Ich habe gerade keine Idee, wo ich noch nach der Ursache suchen kann. Habt ihr einen Tipp?

Vielen Dank im Voraus!
Jens
 
Zuletzt bearbeitet:
Moin,
Ich habe gerade keine Idee, wo ich noch nach der Ursache suchen kann. Habt ihr einen Tipp?
Hast du auf deiner Seite (sprich NSP Gateway Rolle) die TLS bzw. Cipher Suites angepasst? So dass kein Cipher gefunden wird, den beide Seiten verwenden können.


Gruß
Dani
 
Hast du auf deiner Seite (sprich NSP Gateway Rolle) die TLS bzw. Cipher Suites angepasst? So dass kein Cipher gefunden wird, den beide Seiten verwenden können.

Nein, wir haben nichts geändert. Der Server mit NoSpamProxy läuft seit Monaten - bis auf die Windows-Updates - unverändert.

Ich habe nun nochmal getestet. Jetzt funktioniert es mit dem zusätzlichen Konnektor, in dem ich "Verlange STARTTLS" eingestellt habe. Möglicherweise hatte ich bei meinen ersten oben beschriebenen Tests nicht immer die Gatewayrolle neu gestartet. Ich frage mich allerdings, warum es nicht auch trotzdem mit dem Default connector funktioniert, der ja auf "Erlaube STARTTLS" steht.

Da das Problem seit ca. 1.8.2024 auftritt, vermute ich ja fast, dass es auch eine Änderung bei mail.de gegeben haben könnte. Hat vielleicht jemand von Euch Erfahrungen speziell mit diesem Provider, der jetzt anscheinend eine Sonderbehandlung benötigt?

Jens
 
Guten Morgen Jens,

Erfahrung habe ich selbst leider keine mit mail.de
Du könntest das Troubleshooting log einmal aktivieren und schauen ob der TLS Handshake wirklich sauber stattgefunden hat.
Dafür würde ich folgende Kategorien an machen:
- Certificate Management
- DNS Service
- Keymanagement
- Mail delivery service
- Network connections
- Proxy System

Bitte schalte dies nur zum testen ein da es sehr viel log erzeugen wird.


Gruß
Jan
 
Du könntest das Troubleshooting log einmal aktivieren und schauen ob der TLS Handshake wirklich sauber stattgefunden hat.
Dafür würde ich folgende Kategorien an machen:

Vielen Dank für die Hinweise zum Troubleshooting log. Ich wollte es gleich am Montag testen, aber das kuriose ist, dass es jetzt auch ohne den "Sonder-Sendekonnektor" für mail.de funktioniert. Ich habe die Logs der letzten drei Tage beobachtet und alle Mails an diesen Provider wurden problemlos zugestellt. Das ist mir sehr rätselhaft, warum vom ~1.8. bis ~16.8.2024 die STARTTLS-Verbindungen nicht funktionierten. Vielleicht lag es ja auch "nur" an mail.de selbst - wobei das ein recht langer Zeitraum wäre.

Viele Grüße
Jens
 
warum vom ~1.8. bis ~16.8.2024 die STARTTLS-Verbindungen nicht funktionierten
Na was mich wundert und was man eigtl nicht braucht, du hattest am ursprünglichen Konnektor eingerichtet, dass deine TLS Client Identy mit gesendet wird... damit kommen einige Mailserver nicht klar und ergibt in der Regel auch keinen Sinn.
 
Zurück
Oben