Fehler beim Senden über Stunnel

Hallo zusammen,

ich habe Accounts bei GMX, AOL und 1&1 (Ionos).

Mit GMX und AOL kann ich empfangen und senden. Aber mit 1&1 kann ich nur empfangen.

Beim Senden steht im Stunnel-Protokoll "SSL_connect: ssl/record/ssl3_record.c:354: error:0A00010B:SSL routines::wrong version number". Im Protokoll des Mailprogramms steht "Fehler – Unerwarteter Verbindungsabbruch. Verbindung verloren".

Hier die Konfiguration:

[gmx-pop3]
client = yes
accept = 127.0.0.1:110
connect = pop.gmx.net:995
verifyChain = yes
CAfile = ca-certs.pem
checkHost = pop.gmx.net
OCSPaia = yes

[gmx-smtp]
client = yes
accept = 127.0.0.1:25
connect = mail.gmx.net:465
verifyChain = yes
CAfile = ca-certs.pem
checkHost = mail.gmx.net
OCSPaia = yes

[aol-pop3]
client = yes
accept = 127.0.0.1:10110
; protocol = pop3
connect = pop.aol.com:995
verifyChain = yes
CAfile = ca-certs.pem
checkHost = pop.aol.com
OCSPaia = yes

[aol-smtp]
client = yes
accept = 127.0.0.1:10025
; protocol = smtp
connect = smtp.aol.com:465
verifyChain = yes
CAfile = ca-certs.pem
checkHost = smtp.aol.com
OCSPaia = yes

[1und1-pop3]
client = yes
accept = 127.0.0.1:1110
connect = pop.ionos.de:995
verifyChain = yes
CAfile = ca-certs.pem
checkHost = pop.ionos.de
OCSPaia = yes

[1und1-smtp]
client = yes
accept = 127.0.0.1:1111
connect = smtp.ionos.de:587
verifyChain = yes
CAfile = ca-certs.pem
checkHost = smtp.ionos.de
OCSPaia = yes

Please also mark the comments that contributed to the solution of the article

Content-Key: 7998630100

Url: https://administrator.de/contentid/7998630100

Printed on: April 27, 2024 at 07:04 o'clock

9 Comments

Latest comment

Moin,

laut https://www.ionos.de/hilfe/e-mail/allgemeine-themen/serverinformationen- ...
sollte auch:

[1und1-smtp]
{...}
connect = smtp.ionos.de:465

funktionieren, hast Du es damit schon mal probiert? Port 587 verbindet sich per STARTTLS - vermutlich liegt da Dein Problem. Im Prinzip sind 1&1/Ionos, GMX (und web.de) ja ein Konzern...

Gruß

cykes

Zitat von @cykes:

Im Prinzip sind 1&1/Ionos, GMX (und web.de) ja ein Konzern...

Nur sind gmx und web.de in KA und nutzen die gleiche Infrastruktur/Software, zumindest dem äußeren Anschein nach.

1&1 dagegen in Montabaur und hat andere Infrastruktur/Software.

Das ist historisch bedingt so gwachsen.

lks

Hallo,

bei connect = smtp.ionos.de:465 kommt die gleiche Fehlermeldung.

SSL_connect: ssl/record/ssl3_record.c:354: error:0A00010B:SSL routines::wrong version number".

Setze mal die minimale zu verwendende TLS Version. IONOS supported nur ab TLS1.2 aufwärts

[1und1-smtp]
client = yes
accept = 127.0.0.1:1111
connect = smtp.ionos.de:465
verifyChain = yes
CAfile = ca-certs.pem
checkHost = smtp.ionos.de
sslVersionMin = TLSv1.2
OCSPaia = yes

Ist die verwendete OpenSSL Bibliothek auf aktuellem Stand?

Gruß siddius

Hallo,

Stunnel hat die Version 5.70. Die Version von OpenSSL kann ich Dir gar nicht sagen.

Ich habe die stunnel-5.70-win64-installer.exe ausgeführt und es hat alles funktioniert,
Mit 1&1 habe ich erst kürzlich etwas senden wollen, deswegen ist mir der Fehler nicht gleich aufgefallen.

Bringt denn Stunnel im Installer die aktuelle OpenSSL nicht mit?
Wie kann ich denn die Version überprüfen und/oder (nach)installieren?

Ich habe viel getestet, jetzt funktioniert es mit Port 465.
Aber nur dann, wenn bei protocol = smtp vor "protocol" ein Semikolon steht oder der Eintrag gelöscht wird.
Bleibt der Eintrag, dann steht im Protokoll des Mailprogramms steht "Fehler - Unerwarteter Verbindungsabbruch. Die Verbindung wurde getrennt".

Dabei ist es egal ...

... ob der Eintrag OCSPaia = yes enthalten ist oder nicht.
... ob der Eintrag sslVersionMin = TLSv1.2 enthalten ist oder nicht.
... ob beide Einträge enthalten sind oder nicht.

Mit dem Eintrag protocol = smtp funktioniert es dagegen nur mit dem Port 587.
Jetzt ist die Frage, welche "richtige oder bessere" Konfiguration ich nehmen soll.

Stimmt hatte ich verwechselt.
Auf Port 587 wird STARTTLS verwendet dort muß protocol auf smtp gesetzt werden damit STARTTLS statt SSL/TLS verwendet wird.

STARTTLS sollte man wenn es geht vermeiden, dort gab es potentielle Sicherheitslücken in der Vergangenheit.
Verwende besser Port 465 mit SSL/TLS. Dort darf der Protocol Eintrag dann auch nicht stehen das ist wie gesagt nur für den Fall das STARTTLS benutzt wird.

Bei STARTTLS ist die Initiale Verbindung unverschlüsselt, erst nach dem übergeben des STARTTLS Commands Unterhalten sich die beiden Parteien dann verschlüsselt.
Bei SSL über Port 465 wird schon beim Verbindungsaufbau verschlüsselt kommuniziert, das ist also zu bevorzugen. STARTTLS ist eigentlich nur zur Abwärtskompatibilität von älteren Clients gedacht was die Provider aus diesem Grund noch anbieten.

Meine Konfiguration (bis auf die Daten unter "accept") stammen aus einem Beispiel, der Fehler lag also am Port.

Dann wäre die Konfiguration quasi wie bei GMX? Wobei OCSPaia = yes und sslVersionMin = TLSv1.2 gar nicht benötigt werden?

Zitat von @CarryOn:

Meine Konfiguration (bis auf die Daten unter "accept") stammen aus einem Beispiel, der Fehler lag also am Port.

Dann wäre die Konfiguration quasi wie bei GMX? Wobei OCSPaia = yes und sslVersionMin = TLSv1.2 gar nicht benötigt werden?

Ich würde das trotzdem rein schreiben, sicher ist sicher, denn erst TLS1.2 gilt momentan noch als Sicher. 1und1 bietet kleinere Versionen aber eh auch nicht mehr an, die Einstellung verhindert aber das evt. Protokoll-Downgrade-Attacken ins leere laufen.
"OCSPaia" kannst du ja selbst nachschlagen, das prüft die Zertifikatskette und zurückgezogenen Zertifikate auf den Servern der Anbeiter, sollte also der Server ein Zertifikat ausliefern das zurückgezogen wurde dann wird die Verbindung abgelehnt.
Hatte das nur für deine Tests erst mal rausgenommen, im Produktivbetrieb sollte das da natürlich drin stehen.

Wie immer RTFM hilft.

OK, dann übernehme ich das so. Ich danke euch für die Hilfe.

German solved Question Software tools E-Mail