• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Error 5.7.3 (StartTLS oder SMTPS) von web.de/gmx.de

J

jca

New member
Hallo zusammen,

seit ein paar Tagen werde ich von Unzustellbarkeitsbenachrichtigungen bei Mails an web.de/gmx.de und ein paar anderer Freemail Anbieter regelrecht überschüttet:
- Die Unzustellbarkeitsnachricht sagt:
Code: 
Remote Server returned '554 5.7.3 < #5.7.3 smtp;553 5.7.3 A secured connection (either via StartTLS or SMTPS) is required for this recipient.>'

- Die Ereignisanzeige des NSP meldet:
Code: 
Schwere:    Warnung
  Event ID:    1095
  Rolle oder Dienst:    Gateway Role
  Nachrichtendetails:    Failed to establish a secure channel with the remote host 212.227.17.8:25. Der Client und der Server können keine Daten austauschen, da sie nicht   über einen gemeinsamen Algorithmus verfügen

  Message:
  Der Client und der Server können keine Daten austauschen, da sie nicht über einen gemeinsamen Algorithmus verfügen
  Error type:
  System.ComponentModel.Win32Exception

  Error code: 2147500037

Ich bin mir zu 100% sicher, dass der ausgehende Sendekonnektor STARTTLS erlaubt (ich hab es aber auch schon mit erzwingen von STARTTLS oder SMTPS versucht) und ein gültiges Client-Zertifikat zur Authentifizierung erhalten hat (hab es aber auch ohne probiert). Den Post https://forum.nospamproxy.com/threads/ssl-tls-kanal.338/ habe ich gesehen und diverse Cypher Zusammenstellungen des IIS Crypto durchprobiert sowie TLS 1.0 und 1.1 deaktiviert. Der Exchange alleine (am NSP vorbei) kriegt die Mails sofort verschickt.

Hat jemand von Euch eine Idee was mir hier den unbeschwerten Mailversand verhagelt? Ich komme partout nicht darauf was ich noch vergessen haben könnte.
 
Guten Morgen,

da liegt definitiv ein Cipher Mismatch vor.
Das einfachste wird sein du machst einen Wireshsrk dump und schaust was im Server Hello von Web.de angeboten wird.
Ich tippe mal auf recht wenige im TLS1.2/1.3 Umfeld.

Auf welchen Windows Server bist du?
Das könnte dir nämlich ggf. die Probleme verschaffen :/

Gruß und schönes WE
Jan
 
Guten Morgen,
hier ein Server 2016 mit NSP 14.2.
Keine Sendeprobleme an GMX

NSP MessageTrack Infos:

Ziel 212.227.17.5:25 ( mx01.emig.gmx.net )
TLS-Protokoll1.2 mit TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
Perfect Forward Secrecy Ja
DNSSEC Ja
DANE Authentifiziert
 
Guten Morgen,

vielen Dank Euch Beiden für die schnellen Antworten am frühen Samstagmorgen :)

Ich hab' den NSP 14.2 auf einem Windows Server 2019 laufen.

Ich fürchte ich verstehe den Wireshark-Mitschnitt zu wenig um zu erkennen was mir der Web.de Server sagen möchte für mich sieht es so aus, als ob sich NSP und Web.de ganz prächtig über Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 unterhalten (also wie bei Frank auch):
EINGEHEND:
6535 212.227.15.17 192.168.2.215 TLSv1.2 1514 Server Hello

Transport Layer Security
TLSv1.2 Record Layer: Handshake Protocol: Server Hello
Content Type: Handshake (22)
Version: TLS 1.2 (0x0303)
Length: 87
Handshake Protocol: Server Hello
Handshake Type: Server Hello (2)
Length: 83
Version: TLS 1.2 (0x0303)
Random: 8ead0fbff8b03e8097a3b5a359d6783d369edc9f565b8b51444f574e47524401
Session ID Length: 32
Session ID: 37b6dc56efb4e76a7709a136511f179e6ec47993b136d4fad14566a92bf908a1
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
Compression Method: null (0)
Extensions Length: 11
Extension: ec_point_formats (len=2)
Type: ec_point_formats (11)
Length: 2
EC point formats Length: 1
Elliptic curves point formats (1)
Extension: renegotiation_info (len=1)
Type: renegotiation_info (65281)
Length: 1
Renegotiation Info extension
[JA3S Fullstring: 771,49200,11-65281]
[JA3S: 265fb1760174263f1728167115d17fe8]
TLS segment data (1368 bytes)
Zum Vergrößern anklicken....
Versuchen Zertifikate auszutauschen
EINGEHEND:
6538 212.227.15.17 192.168.2.215 TLSv1.2 1171 Certificate, Server Key Exchange, Server Hello Done

Transport Layer Security
TLSv1.2 Record Layer: Handshake Protocol: Server Key Exchange
Content Type: Handshake (22)
Version: TLS 1.2 (0x0303)
Length: 333
Handshake Protocol: Server Key Exchange
Handshake Type: Server Key Exchange (12)
Length: 329
EC Diffie-Hellman Server Params
Curve Type: named_curve (0x03)
Named Curve: secp256r1 (0x0017)
Pubkey Length: 65
Pubkey: 046ba98de5c8b6c165d19fb92e17698ce2395f94128219e3d7e02513993e3e642227fdc86c3e8423963f8e3b0b1b5dadb297d6f2e199ddaf03264241e75618a
Signature Algorithm: rsa_pkcs1_sha256 (0x0401)
Signature Hash Algorithm Hash: SHA256 (4)
Signature Hash Algorithm Signature: RSA (1)
Signature Length: 256
Signature [truncated]: 8f84ed78b88a60e65e96cdee02005e9991e22d5f74cea5775e8866997b154aa883a8f8905de5d1a8a82251228aa39dafea631e3b9a78a6ec967b02538cac64bb74737f72d1b1ad1fa148ce70111c7d9b1c4f9e3fe88f6a604db37f634a58b7d73d1f6ba55fda0e81a
TLSv1.2 Record Layer: Handshake Protocol: Server Hello Done
Content Type: Handshake (22)
Version: TLS 1.2 (0x0303)
Length: 4
Handshake Protocol: Server Hello Done
Handshake Type: Server Hello Done (14)
Length: 0
Zum Vergrößern anklicken....
... und sich danach nicht mehr einigen können
AUSGEHEND:
6543 192.168.2.215 212.227.15.17 TLSv1.2 180 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message

Transport Layer Security
TLSv1.2 Record Layer: Handshake Protocol: Client Key Exchange
Content Type: Handshake (22)
Version: TLS 1.2 (0x0303)
Length: 70
Handshake Protocol: Client Key Exchange
Handshake Type: Client Key Exchange (16)
Length: 66
EC Diffie-Hellman Client Params
Pubkey Length: 65
Pubkey: 0472df1b8d6409a4ba12ef218a7679f4a4cd834edfac50c46bd9c95fbf9c25cf20f0062c3b6deb4e2dfe1623011ec2d0ece6f932e1122ecb545b85899c14633f3d
TLSv1.2 Record Layer: Change Cipher Spec Protocol: Change Cipher Spec
Content Type: Change Cipher Spec (20)
Version: TLS 1.2 (0x0303)
Length: 1
Change Cipher Spec Message
TLSv1.2 Record Layer: Handshake Protocol: Encrypted Handshake Message
Content Type: Handshake (22)
Version: TLS 1.2 (0x0303)
Length: 40
Handshake Protocol: Encrypted Handshake Message
Zum Vergrößern anklicken....

EINGEHEND:
6544 212.227.15.17 192.168.2.215 TLSv1.2 105 Change Cipher Spec, Encrypted Handshake Message

Transport Layer Security
TLSv1.2 Record Layer: Change Cipher Spec Protocol: Change Cipher Spec
Content Type: Change Cipher Spec (20)
Version: TLS 1.2 (0x0303)
Length: 1
Change Cipher Spec Message
TLSv1.2 Record Layer: Handshake Protocol: Encrypted Handshake Message
Content Type: Handshake (22)
Version: TLS 1.2 (0x0303)
Length: 40
Handshake Protocol: Encrypted Handshake Message
Zum Vergrößern anklicken....
Und sich nicht einigen können
EINGEHEND:
6561 212.227.15.17 192.168.2.215 TLSv1.2 85 Encrypted Alert

Transport Layer Security
TLSv1.2 Record Layer: Encrypted Alert
Content Type: Alert (21)
Version: TLS 1.2 (0x0303)
Length: 26
Alert Message: Encrypted Al
Zum Vergrößern anklicken....

Vermutlich schreit mir Web.de die Antwort oben entgegen und ich erkenne sie nur einfach nicht.... Kann es sein, dass Web.de irgendwas am Zertifikat nicht schmeckt?

Viele Grüße

Johannes
 
Hallo Johannes,

Anhand der Auszüge würde ich mal sagen Web.de mag deine Client Identity nicht.
Nimm die mal im ausgehenden sende Konnektor raus.
In deinen Auszügen ist ja noch kein client hello, damit sind wir noch gar nicht beim cipher Exchange selbst gelandet ^^

Was könnte es sein:
Client Identity ist von keiner Ca -> validierungs Problem

Die Client Identity passt nicht zum ehlo Namen eures NSPs. Eine validierung die nicht viele machen, könnte es aber sein.

Wenn das entfernen hilft grenzt es erstmal das Problem final ein :)

LG
Jan
 
Ergänzung:

Der Ehlo Name ist ja noch gar nicht übermittelt -> ggf. prüft web also die Client Identity gegen den DNS Namen vom Server ;)
 
Hallo Jan,

vielen, vielen Dank für Deine Tipps!

Ich habe die Lösung gefunden, so ganz verstanden habe ich sie zwar noch nicht aber sie ist dennoch völlig banal: Antivirus.🤬🤬

Die Umstellung des Antivirus von TrendMicro Apex One zu Avast Cloud Care hat das Problem offenbar ausgelöst (die hat zwar schon vor Wochen stattgefunden, aber offenbar ist das Problem keinem aufgefallen). Gelöst hat es die Deinstallation von Avast Cloud Care (Deaktivieren hat nicht gereicht). Ich werde jetzt mal die Excludes genauer unter die Lupe nehmen, wenn es dann noch immer nicht geht muss ich mir was anderes für AV einfallen lassen.

Viele Grüße

Johannes
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

M
15.0.0.222 - Message misclassification report - HTTP Error 500
Antworten
2
Aufrufe
91
Mueller
M
U
Command Center nicht erreichbar...
Antworten
5
Aufrufe
1K
869288141
8
S
NSP SMTP Bounced Mail
Antworten
4
Aufrufe
131
Sören
Sören
M
Probleme mit Verbindung zur Gatewayrolle und eigenartige Fehlermeldungen
Antworten
5
Aufrufe
755
mabu
M
M
Problem Update auf V14: Gateway Rolle
Antworten
3
Aufrufe
623
Sören
Sören
Zurück
Oben