Problem bei EMailversand: <info@empfaenger.de>... Deferred: 403 4.7.0 TLS handshake failed.

testit

Well-Known Member
Hallo,

bei EINEM bestimmten EMailadressaten kommen meine EMails nicht an.
Eine Auswertung von maillog zeigt:

----- Transcript of session follows ----- <info@empfaenger.de>... Deferred: 403 4.7.0 TLS handshake failed.
sendmail[33445]: ruleset=tls_server, arg1=SOFTWARE, relay=intranet.empfaenger.de, reject=403 4.7.0 TLS handshake failed.


Das Problem taucht erst seit kurzem in Zusammenhang mit diesem Empfänger auf.

Was mich interessieren würde:

Wird bei aktiviertem TLS in einem EMailClient "nur" sichergestellt, dass die Übertragung der zu versendeten EMail an den SMTP-Server verschlüsselt wird?
oder
"nur", dass mein SMTP-Server wiederum den Empfänger-Mailserver verschlüsselt kontaktiert?

Für mich sieht die genannte Fehlermeldung so aus, als ob die Mails vom Empfängerserver abgewiesen werden, weil das Sendmail auf meinem Server kein TLS unterstützt.

Code:
Hello localhost [127.0.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH PLAIN LOGIN
250-DELIVERBY
250 HELP

Bitte keine Grundsatzdiskussion über Sinn und Zwang TLS einzusetzen!

Was mich interessieren würde: Wie kann ich sendmail nachträglich TLS beibringen?


Herzlichen Dank und viele Grüße
testit
 
Wird bei aktiviertem TLS in einem EMailClient "nur" sichergestellt, dass die Übertragung der zu versendeten EMail an den SMTP-Server verschlüsselt wird?
oder
"nur", dass mein SMTP-Server wiederum den Empfänger-Mailserver verschlüsselt kontaktiert?
Das kommt drauf an. :)

Client zu Server ist von der Clientkonfiguration abhängig. Wenn der Client per TLS zum Server verbindet, ist es verschlüsselt, sonst nicht. Ich erzwinge auf meinen Systemen daher, dass ein Login nur über eine TLS-Verbindung möglich ist. Mit Exim sind das zwei Zeilen oder so, bei Sendmail weiß ich es nicht.

Bei Server zu Server sollte ein einigermaßen brauchbarer MTA immer erst TLS versuchen, wenn es auf seiner Seite eingeschaltet ist. Und erst, wenn das nicht klappt, auf eine Plain Text Verbindung zurückfallen. Bei Exim kann man das Rückfallen auch abschalten, aber da dann mindestens die Hälfte der Mails nicht mehr zustellbar sind, ist das keine gute Idee.
 
Danke für die Infos!
Aber da ein

"Hello localhost" bei mir kein "250-STARTTLS" ausgibt, muss ich doch sendmail neu mit einer entsprechenden Option builden, oder nicht?

Viele Grüße
testit
 
Guten Tag,

kennt jemand vlt. noch auf meine vorstehende Frage eine Antwort?

Danke und Gruß
testit
 
Schmeiss Sendmail auf Müllhaufen der Softwaregeschichte ersetze ihn durch einen anderen MTA. Meine Präferenz ist Postfix, aber wenn dir OpenSMTPD reicht nimm den.
 
Wird bei aktiviertem TLS in einem EMailClient "nur" sichergestellt, dass die Übertragung der zu versendeten EMail an den SMTP-Server verschlüsselt wird? oder "nur", dass mein SMTP-Server wiederum den Empfänger-Mailserver verschlüsselt kontaktiert?
Das kommt drauf an, wie du die Umgebung konfiguriert hast. Server to Server läuft (leider) idR. über Port 25. Wenn du dort kein "250-STARTTLS" hast, wird dein Server nie Mails verschlüsselt annehmen (kenne aber Sendmail überhaupt nicht). Weiter spricht dein Mailprogramm in der Regel ja nicht mit deinem MTA (Postfix, OpenSMTPd) sondern mit einem MDA wie Docecot (Port 143 STARTTLS/993 SSL). Weiter kenne ich absolut niemanden, der Sendmail heute noch einsetzt. Überlege dir vielleicht dies auch zu ändern.
 
"Hello localhost" bei mir kein "250-STARTTLS" ausgibt, muss ich doch sendmail neu mit einer entsprechenden Option builden, oder nicht?
Es ist lange, lange, sehr lange her aber man musste irgendwelche Optionen in er make.conf setzen und Sendmail neubauen. Höre auf @Crest, schmeiß Sendmail weg und nehme eine moderne Alternative.
 
Allerdings brauche ich ZWINGEND eine Lösung, bei der später auch der Mailbox-User die Möglichkeit hat, Abwesenheitsnachrichten zu aktivieren.
Das geht problemlos über Sieve. Ich nutze Roudcubes Sieve-Plugin als Frontend, es hat sogar eine vorgefertigte "Out of Office"-Option. Als backend nutzte ich Dovecots Sieve-Modul.
 
Zurück
Oben