Skip to main content

Ik draai mijn eigen mailserver en merkt dat mail van KPN hierop niet bezorgd wordt.

In mail.log is het enige wat ik kan traceren naar KPN:

Sep 29 12:29:20 [hostnaam verwijderd] postfix/smtpd[ProcesID verwijderd]: connect from cpdelvb-safe04.kpnxchange.com[213.75.38.88]
Sep 29 12:29:20 [hostnaam verwijderd] postfix/smtpd[ProcesID verwijderd]: disconnect from cpdelvb-safe04.kpnxchange.com[213.75.38.88] ehlo=1 mail=0/1 quit=1 commands=2/3

 

Er kan dus geen verbinding worden opgezet. Maar waarom?

 

 Van harte welkom hier @Arvaa!

Ik zoek graag met je mee naar waar het mis gaat. Kan je je gegevens in je forumprofiel invullen, inclusief het mailadres waarop je de mail probeert af te leveren? Alle informatie is welkom, in je profiel kan je je gegevens veilig kwijt. Geef je een seintje zo gauw je dat hebt gedaan? Dan doe ik navraag bij een specialist voor je.


@Arvaa Dank voor je privéberichtje en het invullen van je gegevens! Ik heb het doorgezet naar een specialist om verder uit te zoeken wat er aan de hand is. We komen er zo snel mogelijk op terug zo gauw we meer weten.


Hallo @Arvaa ,

Men heeft aan onze kant iets aangepast. Kun je eens testen of het nu wel werkt?


 


Het lijkt een TLS probleem. Ik gebruik Let's Encrypt certificaten met deze settings in Postfix main.cf :

smtpd_use_tls=yes
smtpd_tls_auth_only = yes
smtpd_tls_security_level = encrypt
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_mandatory_ciphers = high
smtpd_tls_eecdh_grade = strong
smtpd_tls_exclude_ciphers = aNULL, ECDHE-ECDSA-AES256-SHA, ECDHE-ECDSA-AES128-SHA256, ECDHE-ECDSA-AES128-SHA, ECDHE-RSA-AES256-SHA384, ECDHE-RSA-AES256-SHA, ECDHE-RSA-AES128-SHA256, ECDHE-RSA-AES128-SHA, DHE-RSA-AES256-GCM-SHA384, DHE-RSA-CHACHA20-POLY1305, DHE-RSA-AES128-GCM-SHA256, DHE-RSA-AES256-SHA256, DHE-RSA-AES256-SHA, DHE-RSA-AES128-SHA256, DHE-RSA-AES128-SHA, ECDHE-ECDSA-DES-CBC3-SHA, ECDHE-RSA-DES-CBC3-SHA, DHE-RSA-DES-CBC3-SHA, AES256-GCM-SHA384, AES128-GCM-SHA256, AES256-SHA256, AES256-SHA, AES128-SHA256, AES128-SHA, DES-CBC3-SHA, CAMELLIA256-SHA256, CAMELLIA256-SHA, CAMELLIA128-SHA256, CAMELLIA128-SHA, ADH-AES256-GCM-SHA384, ADH-AES256-SHA256, ADH-CAMELLIA256-SHA256
tls_ssl_options = NO_RENEGOTIATION
tls_preempt_cipherlist = yes


Hoi @Arvaa ,

Ik heb het nog even opnieuw uitgezet bij onze mailserverbeheerders. Alexandra of ik komen hier nog weer even op terug zodra we meer informatie hebben.

 


Hoi @Arvaa ,

We hebben e.e.a. nog even gecontroleerd, en alle settings staan zoals ze moeten staan aan onze kant. Als we kijken in de logging, dan zien we dat het misgaat bij de handshake:

 

2021-10-01 14:29:03 ip-adres] OutboundConnectionResponse SMTPSVC1 CPDELVB-SAFE01 - 0 - - 220++host] 0 0 33 0 10016 SMTP - - - -
2021-10-01 14:29:03 ip-adres] OutboundConnectionCommand SMTPSVC1 CPDELVB-SAFE01 - 0 EHLO - cpdelvb-safe01.kpnxchange.com 0 0 4 0 10016 SMTP - - - -
2021-10-01 14:29:03 ip-adres] OutboundConnectionResponse SMTPSVC1 CPDELVB-SAFE01 - 0 - - 250--host] 0 0 33 0 10031 SMTP - - - -
2021-10-01 14:29:03 ip-adres] OutboundConnectionCommand SMTPSVC1 CPDELVB-SAFE01 - 0 STARTTLS - - 0 0 8 0 10031 SMTP - - - -
2021-10-01 14:29:03 ip-adres] OutboundConnectionResponse SMTPSVC1 CPDELVB-SAFE01 - 0 - - 220+2.0.0+Ready+to+start+TLS 0 0 28 0 10031 SMTP - - - -


Er zijn vorige week wat issues geweest met Let's encrypt, zie ook: https://tweakers.net/nieuws/187618/storing-door-verlopen-lets-encrypt-certificaat-treft-miljoenen-gebruikers.html

Het updaten van het root-certificaat zou dat moeten oplossen. Heb je dat al eens gedaan?


Heb ISRG Root X1


Maar is het root certificaat ook al eens geüpdated? Zo niet, zou je dat dan nog eens willen proberen?


Ga ik vanmiddag even proberen. Bij die instellingen kan ik momenteel niet bij.


Alle root certificaten zijn geupdated.

:~$ openssl s_client -connect [domein verwijderd]:25 -starttls smtp
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = [domein verwijderd]
verify return:1
---
Certificate chain
 0 s:CN = domein verwijderd]
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3


Ik zal vanmiddag ook de korte variant van de chain proberen.


Certificaten met korte chain(met één geldig root certificaat) geplaatst, maar het lukt nog niet:

:~$ openssl s_client -connect tdomein verwijderd]:25 -starttls smtp
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = =domein verwijderd]
verify return:1
---
Certificate chain
 0 s:CN = domein verwijderd]
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1


Oct  5 16:16:06 hostnaam verwijderd] postfix/smtpddProcesID verwijderd]: SSL3 alert write:fatal:handshake failure
Oct  5 16:16:06 6hostnaam verwijderd] postfix/smtpdpProcesID verwijderd]: SSL_accept:error in error
Oct  5 16:16:06 0hostnaam verwijderd] postfix/smtpdtProcesID verwijderd]: SSL_accept error from cpdelvb-safe02.kpnxchange.comc213.75.38.85]: -1


 


Hoi @Arvaa ,

Dankjewel voor de aanvullende informatie. Het lijkt er wel op dat er aan de kant van jouw postfix toch iets mis gaat, maar mijn beperkte kennis over postfix maakt het het ook wat lastiger om te troubleshooten.

Het lijkt er wel op dat je bepaalde configuratie iets te streng hebt staan, kijkend naar je main.cf:

smtpd_tls_exclude_ciphers: ← Standaard is deze regel leeg, en bij jou staat er een enorme waslijst

smtpd_tls_mandatory_ciphers: ← Standaard staat deze op Medium

Nu begrijp ik wel dat je deze zaken aan wil passen, maar ik zou toch adviseren deze beide regels eens terug naar standaard te zetten, en kijken of het werkt. Als dat namelijk het geval is, kun je stap voor stap bepaalde dingen terug zetten, om zodoende te zien welke configuration-flag het precies is dat roet in het eten gooit.