Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: maxell32 on October 29, 2017, 02:00:31 PM

Title: Verschlüsselter Versand über SMTP nicht möglich
Post by: maxell32 on October 29, 2017, 02:00:31 PM
Hallo,

zuerst möchte ich mich für dieses großartige Projekt bedanken. Ich bin gerade dabei mich in OPNsense einzuarbeiten und bin von den vielen Möglichkeiten begeistert.

Derzeit beschäftigt mich das Einrichten der Benachrichtigungen unter System: Settings: Notifications.

Sobald ich den Port 465 einstelle und das Häkchen bei Enable SMTP over SSL/TLS setze, funktioniert der E-Mail Versand mit dem Test Button nicht mehr.
Im Firewall Log wird nichts geblockt und im System Log File findet sich nur folgender Eintrag:
opnsense: /system_advanced_notifications.php: Could not send the message to ###### -- Error: could not connect to the host "mail.upcmail.at": ??
Die Werte sind aber 100% richtig und funktionieren so auch in anderen Systemen.

Wenn ich auf Port 25 umstelle und SSL deaktiviere, funktioniert der Versand.

Ich verwende Version 17.7.7_1.

Hat jemand eine Idee? Vor zwei Jahren scheint es da mal ein SSL Problem in Verbindung mit PHP gegeben zu haben. Das dürfte es also nicht sein.

Title: Re: Verschlüsselter Versand über SMTP nicht möglich
Post by: fabian on October 29, 2017, 03:03:56 PM
Laut dem dokument hier stimmen die daten:
https://www.upc.at/pdf/anleitungen/fiber-power-internet/email-einrichten/Android_4-3.pdf?321 (https://www.upc.at/pdf/anleitungen/fiber-power-internet/email-einrichten/Android_4-3.pdf?321)

Das Problem könnte mit TLS zu tun haben (Zertifikat aus irgendeinem Grund nicht vertrauenswürdig etc.) oder das Problem existiert immer noch.

root@opn:~ # /usr/local/bin/openssl s_client -connect mail.upcmail.at:465 -showcerts -state -msg
CONNECTED(00000003)
SSL_connect:before/connect initialization
>>> TLS 1.2 Handshake [length 00eb], ClientHello
    01 00 00 e7 03 03 c2 f7 7f c6 5d 78 20 9e 74 d9
    ff d5 b0 fe 2a dd bc e3 ac f8 a8 a2 3f 44 57 ec
...
    01 05 02 05 03 04 01 04 02 04 03 ee ee ed ed 03
    01 03 02 03 03 02 01 02 02 02 03
SSL_connect:SSLv3 write client hello A
<<< TLS 1.2 Handshake [length 0051], ServerHello
    02 00 00 4d 03 03 3d cf 4f 48 6d 96 ae 2d 0a c2
...
    5b 99 e5 d2 7f a4 f3 00 2f 00 00 05 ff 01 00 01
    00
SSL_connect:SSLv3 read server hello A
<<< TLS 1.2 Handshake [length 0ba4], Certificate
    0b 00 0b a0 00 0b 9d 00 07 46 30 82 07 42 30 82
    06 2a a0 03 02 01 02 02 0c 13 cd 25 79 8f cb 10
....
    c7 30 e6 31 38 7c f4 dd 52 ca f3 53 04 25 57 56
    66 94 e8 0b ee e6 03 14 4e ee fd 6d 94 64 9e 5e
    ce 79 d4 b2 a6 cf 40 b1 44 a8 3e 87 19 5e e9 f8
    21 16 59 53
depth=2 C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
verify return:1
depth=1 C = BE, O = GlobalSign nv-sa, CN = AlphaSSL CA - SHA256 - G2
verify return:1
depth=0 OU = Domain Control Validated, CN = mail.upcmail.at
verify return:1
SSL_connect:SSLv3 read server certificate A
<<< TLS 1.2 Handshake [length 0004], ServerHelloDone
    0e 00 00 00
SSL_connect:SSLv3 read server done A
>>> TLS 1.2 Handshake [length 0106], ClientKeyExchange
    10 00 01 02 01 00 af 86 4d 38 ab 0c f2 29 57 61
    92 ac 36 46 0f e3 0a 89 2c 21 99 0c 36 5a a2 b5
...
    6b 2d ed be 3d c2 e3 34 40 09 ab ce df 2b a0 c0
    71 a7 b2 96 98 0f 01 a3 ae a9 e3 5b a4 92 96 4d
    3e b6 c4 c0 59 78
SSL_connect:SSLv3 write client key exchange A
>>> TLS 1.2 ChangeCipherSpec [length 0001]
    01
SSL_connect:SSLv3 write change cipher spec A
>>> TLS 1.2 Handshake [length 0010], Finished
    14 00 00 0c 6f 20 e5 21 49 e9 f5 3d 1b a6 51 67
SSL_connect:SSLv3 write finished A
SSL_connect:SSLv3 flush data
<<< TLS 1.2 ChangeCipherSpec [length 0001]
    01
<<< TLS 1.2 Handshake [length 0010], Finished
    14 00 00 0c 42 d4 86 c0 7a f0 a7 ac d4 aa 46 4d
SSL_connect:SSLv3 read finished A
---
Certificate chain
0 s:/OU=Domain Control Validated/CN=mail.upcmail.at
   i:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
1 s:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
   i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/OU=Domain Control Validated/CN=mail.upcmail.at
issuer=/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
---
No client certificate CA names sent
---
SSL handshake has read 3155 bytes and written 582 bytes
---
New, TLSv1/SSLv3, Cipher is AES128-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : AES128-SHA
    Session-ID: 2D560769B859F41C426B894AA795C5F5836F9C5709956C217E5B99E5D27FA4F3
    Session-ID-ctx:
    Master-Key: XXXXXXXXXXXXXXXXXX
    Start Time: 1509285485
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---

Das is auf OPNsense/LibreSSL - TLS macht also keine Probleme. Ich würde daher von einem Problem in der Library ausgehen oder es wird der falsche Port verwendet. Kannst du mal ein packet capture machen?
Title: Re: Verschlüsselter Versand über SMTP nicht möglich
Post by: maxell32 on October 29, 2017, 03:42:06 PM
Danke für deine Unterstützung.

Capture File ist angehängt.

Hier noch mein Output von /usr/local/bin/openssl s_client -connect mail.upcmail.at:465 -showcerts -state -msg
:
Code Select

CONNECTED(00000003)
SSL_connect:before/connect initialization
>>> TLS 1.2  [length 0005]
    16 03 01 01 2e
>>> TLS 1.2 Handshake [length 012e], ClientHello
    01 00 01 2a 03 03 f1 32 90 e5 2b 77 ec 68 1c de
    4c de b4 78 2a 2f d4 4d 55 49 da bf a9 6c dd e5
...
    03 05 01 05 02 05 03 04 01 04 02 04 03 03 01 03
    02 03 03 02 01 02 02 02 03 00 0f 00 01 01
SSL_connect:SSLv2/v3 write client hello A
<<< ??? [length 0005]
    16 03 03 00 51
<<< TLS 1.2 Handshake [length 0051], ServerHello
    02 00 00 4d 03 03 8d 9b a9 33 16 f0 77 b5 cb 22
...
    5b 99 e5 d2 7f bb 0f 00 2f 00 00 05 ff 01 00 01
    00
SSL_connect:unknown state
<<< ??? [length 0005]
    16 03 03 0b a4
<<< TLS 1.2 Handshake [length 0ba4], Certificate
    0b 00 0b a0 00 0b 9d 00 07 46 30 82 07 42 30 82
    06 2a a0 03 02 01 02 02 0c 13 cd 25 79 8f cb 10
...
    c7 30 e6 31 38 7c f4 dd 52 ca f3 53 04 25 57 56
    66 94 e8 0b ee e6 03 14 4e ee fd 6d 94 64 9e 5e
    ce 79 d4 b2 a6 cf 40 b1 44 a8 3e 87 19 5e e9 f8
    21 16 59 53
depth=2 C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
verify return:1
depth=1 C = BE, O = GlobalSign nv-sa, CN = AlphaSSL CA - SHA256 - G2
verify return:1
depth=0 OU = Domain Control Validated, CN = mail.upcmail.at
verify return:1
SSL_connect:unknown state
<<< ??? [length 0005]
    16 03 03 00 04
<<< TLS 1.2 Handshake [length 0004], ServerHelloDone
    0e 00 00 00
SSL_connect:unknown state
>>> ??? [length 0005]
    16 03 03 01 06
>>> TLS 1.2 Handshake [length 0106], ClientKeyExchange
    10 00 01 02 01 00 d3 bc 29 f5 6f 1c 58 0c 0d 27
    ed a4 5f 26 e3 9a 88 4d f4 7e ac d6 b5 69 ff 2e
    73 53 66 1b 77 96 c1 ea 32 02 c6 2b 3c 75 08 18
    31 b2 71 10 ec cb c6 c5 d6 b2 e2 a4 da b7 1b 61
    24 05 0a 89 4d 6a 9f 3b 1f 37 72 0c fe fa 63 ef
    e1 42 5a c1 54 93 6a df 84 a7 80 c1 6c f7 ce 87
    b3 f9 63 79 de d9 63 fb 0e 83 04 29 37 af b7 ce
    73 06 b1 58 09 44 44 97 61 fd 00 d7 ad 3f cf 33
    85 d0 62 80 b7 15 6e cd 85 a4 51 c3 2e a4 7c ea
    c1 73 91 2f 4f 6a ed 68 93 b2 b8 37 44 a8 cb 86
    65 40 f9 71 0f ac f4 be e2 41 b1 db db 2d fe 61
    db fa 2d 0b d8 96 47 a4 12 a5 c2 ec 5a 05 88 c5
    ae 5b 40 ad 60 74 da c1 7b 0c d1 e0 b9 c9 7a 35
    39 3f a9 07 4f 1b a5 d0 c5 c5 a8 01 6a 92 15 f8
    35 48 44 34 d1 db d6 5d bd 11 e7 d8 64 b2 a2 31
    47 40 7e 0f 65 b0 a0 c9 f5 7e 1a 6e 47 f1 b4 9b
    8f 27 84 be 0f 6d
SSL_connect:unknown state
>>> ??? [length 0005]
    14 03 03 00 01
>>> TLS 1.2 ChangeCipherSpec [length 0001]
    01
SSL_connect:unknown state
>>> ??? [length 0005]
    16 03 03 00 40
>>> TLS 1.2 Handshake [length 0010], Finished
    14 00 00 0c 6a 9b a2 25 b2 8a e6 87 c1 2d 3e 4c
SSL_connect:unknown state
SSL_connect:unknown state
<<< ??? [length 0005]
    14 03 03 00 01
<<< TLS 1.2 ChangeCipherSpec [length 0001]
    01
<<< ??? [length 0005]
    16 03 03 00 40
<<< TLS 1.2 Handshake [length 0010], Finished
    14 00 00 0c 6c cf 2c d1 0a e0 5d 6e c0 d0 9e cf
SSL_connect:unknown state
---
Certificate chain
0 s:/OU=Domain Control Validated/CN=mail.upcmail.at
   i:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
1 s:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
   i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
-----BEGIN CERTIFICATE-----
MIIETTCCAzWgAwIBAgILBAAAAAABRE7wNjEwDQYJKoZIhvcNAQELBQAwVzELMAkG
A1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExEDAOBgNVBAsTB1Jv
b3QgQ0ExGzAZBgNVBAMTEkdsb2JhbFNpZ24gUm9vdCBDQTAeFw0xNDAyMjAxMDAw
MDBaFw0yNDAyMjAxMDAwMDBaMEwxCzAJBgNVBAYTAkJFMRkwFwYDVQQKExBHbG9i
YWxTaWduIG52LXNhMSIwIAYDVQQDExlBbHBoYVNTTCBDQSAtIFNIQTI1NiAtIEcy
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA2gHs5OxzYPt+j2q3xhfj
kmQy1KwA2aIPue3ua4qGypJn2XTXXUcCPI9A1p5tFM3D2ik5pw8FCmiiZhoexLKL
dljlq10dj0CzOYvvHoN9ItDjqQAu7FPPYhmFRChMwCfLew7sEGQAEKQFzKByvkFs
MVtI5LHsuSPrVU3QfWJKpbSlpFmFxSWRpv6mCZ8GEG2PgQxkQF5zAJrgLmWYVBAA
cJjI4e00X9icxw3A1iNZRfz+VXqG7pRgIvGu0eZVRvaZxRsIdF+ssGSEj4k4HKGn
kCFPAm694GFn1PhChw8K98kEbSqpL+9Cpd/do1PbmB6B+Zpye1reTz5/olig4het
ZwIDAQABo4IBIzCCAR8wDgYDVR0PAQH/BAQDAgEGMBIGA1UdEwEB/wQIMAYBAf8C
AQAwHQYDVR0OBBYEFPXN1TwIUPlqTzq3l9pWg+Zp0mj3MEUGA1UdIAQ+MDwwOgYE
VR0gADAyMDAGCCsGAQUFBwIBFiRodHRwczovL3d3dy5hbHBoYXNzbC5jb20vcmVw
b3NpdG9yeS8wMwYDVR0fBCwwKjAooCagJIYiaHR0cDovL2NybC5nbG9iYWxzaWdu
Lm5ldC9yb290LmNybDA9BggrBgEFBQcBAQQxMC8wLQYIKwYBBQUHMAGGIWh0dHA6
Ly9vY3NwLmdsb2JhbHNpZ24uY29tL3Jvb3RyMTAfBgNVHSMEGDAWgBRge2YaRQ2X
yolQL30EzTSo//z9SzANBgkqhkiG9w0BAQsFAAOCAQEAYEBoFkfnFo3bXKFWKsv0
XJuwHqJL9csCP/gLofKnQtS3TOvjZoDzJUN4LhsXVgdSGMvRqOzm+3M+pGKMgLTS
xRJzo9P6Aji+Yz2EuJnB8br3n8NA0VgYU8Fi3a8YQn80TsVD1XGwMADH45CuP1eG
l87qDBKOInDjZqdUfy4oy9RU0LMeYmcI+Sfhy+NmuCQbiWqJRGXy2UzSWByMTsCV
odTvZy84IOgu/5ZR8LrYPZJwR2UcnnNytGAMXOLRc3bgr07i5TelRS+KIz6HxzDm
MTh89N1SyvNTBCVXVmaU6Avu5gMUTu79bZRknl7OedSyps9AsUSoPocZXun4IRZZ
Uw==
-----END CERTIFICATE-----
---
Server certificate
subject=/OU=Domain Control Validated/CN=mail.upcmail.at
issuer=/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
---
No client certificate CA names sent
---
SSL handshake has read 3155 bytes and written 649 bytes
---
New, TLSv1/SSLv3, Cipher is AES128-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : AES128-SHA
    Session-ID: 2D560769B858BFEF426B894AA795C7F558D4C284D7282F2F7E5B99E5D27FBB0F
    Session-ID-ctx:
    Master-Key: DE4D7DF5527916411FCD9E1D905B387AD3BFBF2105BA88EC7D8ACFF498D2B0FCD51353438297A5BB39C30B387F63F74B
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1509287281
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
<<< ??? [length 0005]
    17 03 03 00 80
220 vie01a-pemc-psmtp-pe01 SMTP @ mailcloud.upcmail.net ESMTP server ready
read:errno=0
>>> ??? [length 0005]
    15 03 03 00 30
>>> TLS 1.2 Alert [length 0002], warning close_notify
    01 00
SSL3 alert write:warning:close notify


Da kommt auffällig oft SSL_connect:unknown state vor.

Title: Re: Verschlüsselter Versand über SMTP nicht möglich
Post by: fabian on October 29, 2017, 04:10:31 PM
Aus dem capture würde ich schließen, dass die TLS-Verbindung OK ist und die Verbindung abreißt (möglicherweise durch eine Exception im code). Ich würde auf einen Defekt in der Library schließen.
Title: Re: Verschlüsselter Versand über SMTP nicht möglich
Post by: fabian on October 29, 2017, 04:42:10 PM
das problem scheint PHP-spezifisch zu sein da ich die fehlermeldung gefunden habe:
https://github.com/opnsense/core/blob/master/src/etc/inc/notices.smtp.inc#L231-L247 (https://github.com/opnsense/core/blob/master/src/etc/inc/notices.smtp.inc#L231-L247)

Von der position her würde ich sagen, es würde probleme mit dem TLS-Modul geben, aber das modul wird anscheinend geladen:
siehe screenshot

Die konfiguration auf meinem rechner sieht auch nicht anders aus:
Code Select
openssl

OpenSSL support => enabled
OpenSSL Library Version => OpenSSL 1.1.0f  25 May 2017
OpenSSL Header Version => OpenSSL 1.1.0f  25 May 2017
Openssl default config => /etc/ssl/openssl.cnf

Directive => Local Value => Master Value
openssl.cafile => no value => no value
openssl.capath => no value => no value

Was man probieren könnte, ist cafile zu setzen.
Die Datei mit den Zertifikaten ist unter OPNsense unter /usr/local/etc/ssl/cert.pem

Title: Re: Verschlüsselter Versand über SMTP nicht möglich
Post by: maxell32 on October 29, 2017, 06:01:47 PM
Ich hatte ursprünglich default, also openssl eingestellt. Nach deinem Hinweis auf die Library (in deiner ersten Antwort) habe ich es auf libressl umgestellt und die dadurch fälligen Updates installiert.
Jetzt schaut zwar der Output so aus wie bei dir, aber der Versand funktioniert weiterhin nicht - gleiche Fehlermeldung wie vorher und wie du auch im Code gefunden hast.

So, wie ich den Code verstehe, ist die Fehlermeldung aber eine sehr allgemeine und könnte alles sein, was nicht vorher schon durch den switch block behandelt wurde.

Was ich noch nicht verstehe. Ist das aus deiner Sicht ein allgemeines Problem, das eigentlich mehrere Leute haben müssten oder eines, dass nur in meiner Konstellation mit dem Provider auftritt?

Ich werde mal sehen, wie ich den cafile Wert setzen kann, wie du vorgeschlagen hast. So tief bin ich da noch nicht drin  :-[
Title: Re: Verschlüsselter Versand über SMTP nicht möglich
Post by: JasMan on December 08, 2017, 10:49:32 PM
Hi,
gleiches Problem bei mir mit dem Provider Strato. Habe auch einen Bug bei pfSense gefunden, der genau dieses Verhalten beschreibt.

In der Bug-Liste von OPNsense habe ich keinen vergleichbaren Eintrag gefunden, daher habe ich mal einen aufgemacht.
https://github.com/opnsense/core/issues/1983 (https://github.com/opnsense/core/issues/1983)

Gruß
Jas
Title: Re: Verschlüsselter Versand über SMTP nicht möglich
Post by: fabian on December 09, 2017, 12:04:45 AM
Tried some things and the one in the screenshot gives the following error:

Code Select
opnsense: /system_advanced_notifications.php: Could not send the message to test_recipient@fabian-franz.eu -- Error: 535 5.7.8 Error: authentication failed:

When I tried some other things, like connecting to it via TLS while it is not a TLS connection, I get errors like
Code Select
opnsense: /system_advanced_notifications.php: Could not send the message to test_recipient@fabian-franz.eu -- Error: could not connect to the host "mail.fabian-franz.eu": ??
Title: Re: Verschlüsselter Versand über SMTP nicht möglich
Post by: Droppie391 on December 11, 2017, 08:34:19 AM
Soweit ich mich erinnere, ist Port 465 ein SSL Port und wird von einige Provider auf CA Gültigkeit kontrolliert.
Port 587 dagegen ist eein TLS Port wo von den meisten Provider auch eigen generierte Zertifikate angenommen werden.
Selbst benutzen wir interne Mailserver die wir mit TLS auf Port 25 ansteuern (Auch mit eigene Zertifikate).
Auf eine Authentifizierung mit User/Password verzichten wir dabei.
 
Title: Re: Verschlüsselter Versand über SMTP nicht möglich
Post by: JeGr on December 11, 2017, 11:36:08 AM
Im normalen Umgang - zumindest gängig im Hosting - wird 465/tcp eigentlich nur (noch) für Server2Server Kommunikation verwendet und dort wird SSL/TLS implizit gesprochen - sprich es wird vorausgesetzt, dass der Connect und alles weitere bereits per TLS erledigt wird. Ob eigene Zertifikate genommen werden ist Einstellungssache des Servers.

Zum Mails einliefern gibt es eigentlich meistens drei Varianten, nachdem 465 eher wenig genutzt wird:

a) alt: unverschlüsselt Klartext via 25/tcp
b) neu: verschlüsselt mit TLS via 587/tcp via Submission: Hier wird aber erst kurz Klartext kommuniziert und die Verbindung mittels STARTTLS dann nachverschlüsselt! Auf diesem Port wird generell eigentlich nur Mail eingeliefert und meistens via User/Pass authentifiziert.
c) neu: manchmal auch gesehen: verschlüsselt via 25/tcp. Hier wird ähnlich wie bei Submission die Verbindung im Nachhinein mit STARTTLS verschlüsselt, beginnt aber unverschlüsselt.

Daher sollte man bei veschlüsseltem Versand aufpassen, was man zum Verschlüsseln auswählt. Soweit ich weiß ist SMTP over TLS das, was SMTPS also 465/tcp benötigt. Viele Provider wollen das aber inzwischen entweder per Submission oder SMTP mit STARTTLS haben. Das nur als Einwurf, weil wir da auch schonmal ziemlich rumgesucht hatten warum manche Sachen partout nicht funktioniert haben :)
Text only | Text with Images