Discussion:
sendmail und SSL - nicht STARTTLS!
(zu alt für eine Antwort)
Andreas Hartmann
2017-02-01 13:11:40 UTC
Permalink
Hallo zusammen!

Ich bin hier gerade dabei, einen SMTP-Provider (mailbox.org) als
ausgehenden SMTP-Server zu konfigurieren mit sendmail.

In der offiziellen Doku von mailbox.org wird nur der Port 465 / SSL bzw.
TLS genannt.
Port 587 (STARTTLS) wird nicht genannt - funktioniert aber trotzdem
einwandfrei,

Ich habe mich nun versucht, schlau zu machen, sendmail via TLS über Port
465 mit mailbox.org zusammenzubringen.
Problem: mehr als einen TCP-Connect (SYN und SYN-ACK) kommt dabei nicht
raus. Irgendwie habe ich den Eindruck, dass sendmail auch mit dem Port
465 STARTTLS machen will - was der aber nicht unterstützt.

Die Frage ist nun: wie biege ich sendmail bei, SSL bzw. TLS auf dem Port
465 zu verwenden und *nicht* STARTTLS?

Version 8.14.7
Compiled with: DNSMAP HESIOD HES_GETMAILHOST LDAPMAP LOG MAP_REGEX
MATCHGECOS MILTER MIME7TO8 MIME8TO7 NAMED_BIND NETINET
NETINET6 NETUNIX NEWDB NIS PIPELINING SASLv2 SCANF
SOCKETMAP STARTTLS TCPWRAPPERS USERDB USE_LDAP_INIT


Nach längerer Suche via Google und auch in dieser Gruppe, habe ich die
Vermutung gelesen, sendmail würde TLS gar nicht unterstützen? Ist das
wirklich so - kann ich eigentlich kaum glauben.



Danke für sachdienliche Hinweis,
Gruß,
Andreas
Claus Aßmann
2017-02-01 13:52:03 UTC
Permalink
Post by Andreas Hartmann
In der offiziellen Doku von mailbox.org wird nur der Port 465 / SSL bzw.
TLS genannt.
Port 587 (STARTTLS) wird nicht genannt - funktioniert aber trotzdem
einwandfrei,
Ich habe mich nun versucht, schlau zu machen, sendmail via TLS über Port
465 mit mailbox.org zusammenzubringen.
Zeitverschwendung.
Post by Andreas Hartmann
Problem: mehr als einen TCP-Connect (SYN und SYN-ACK) kommt dabei nicht
raus. Irgendwie habe ich den Eindruck, dass sendmail auch mit dem Port
465 STARTTLS machen will - was der aber nicht unterstützt.
Woher kommt der "Eindruck"?
Post by Andreas Hartmann
Die Frage ist nun: wie biege ich sendmail bei, SSL bzw. TLS auf dem Port
465 zu verwenden und *nicht* STARTTLS?
Geht nicht... zumindest nicht ohne Code Aenderung.
(smtps ist immer noch server-seitig verfuegbar.)
Post by Andreas Hartmann
Nach längerer Suche via Google und auch in dieser Gruppe, habe ich die
Vermutung gelesen, sendmail würde TLS gar nicht unterstützen? Ist das
sendmail implementiert den Standard STARTTLS (server und client).
Post by Andreas Hartmann
wirklich so - kann ich eigentlich kaum glauben.
smtps ist (seit 1998!) kein offizielles Protokoll.
--
Note: please read the netiquette before posting. I will almost never
reply to top-postings which include a full copy of the previous
article(s) at the end because it's annoying, shows that the poster
is too lazy to trim his article, and it's wasting the time of all readers.
Andreas Hartmann
2017-02-01 20:09:50 UTC
Permalink
Hallo Claus,
[...]
Post by Claus Aßmann
Post by Andreas Hartmann
Die Frage ist nun: wie biege ich sendmail bei, SSL bzw. TLS auf dem Port
465 zu verwenden und *nicht* STARTTLS?
Geht nicht... zumindest nicht ohne Code Aenderung.
(smtps ist immer noch server-seitig verfuegbar.)
Post by Andreas Hartmann
Nach längerer Suche via Google und auch in dieser Gruppe, habe ich die
Vermutung gelesen, sendmail würde TLS gar nicht unterstützen? Ist das
sendmail implementiert den Standard STARTTLS (server und client).
Da muss man auch erst mal drauf kommen, dass da differenziert wird
zwischen Server und Client.
Post by Claus Aßmann
Post by Andreas Hartmann
wirklich so - kann ich eigentlich kaum glauben.
smtps ist (seit 1998!) kein offizielles Protokoll.
Dafür lebt es aber doch noch recht munter! Alle Mailprovider, die ich
nutze, unterstützen es - und das sind immerhin 4 Stück.

V.a. wundert mich dann, dass mailbox.org ausschließlich smtps (465)
offizielle dokumentiert und 587/STARTTLS zwar anbietet, aber eben nicht
dokumentiert
(https://support.mailbox.org/knowledge-base/article/einrichtung-mit-sonstigen-mailprogrammen).


Es gab da einige Diskussionen, wonach TLS sicherer sein soll als
STARTTLS, weil bei TLS ein MITM-Angriff schwieriger sein soll als bei
STARTTLS, weil im Rahmen eines buggy clients dieser die Login-Daten u.U.
plaintext schicken könnte ... . Naja, die Diskussionen waren teilweise
ziemlich angeregt.

Ein Beispiel (gibt aber noch weitere):
https://support.mailbox.org/topic/starttls-ist-standard-bei-der-einrichtung-eines-mailbox-org-accounts-in-thunderbird



Gruß,
Andreas
Juergen Ilse
2017-02-01 14:50:19 UTC
Permalink
Hallo,
Post by Andreas Hartmann
Ich bin hier gerade dabei, einen SMTP-Provider (mailbox.org) als
ausgehenden SMTP-Server zu konfigurieren mit sendmail.
In der offiziellen Doku von mailbox.org wird nur der Port 465 / SSL bzw.
TLS genannt.
Port 587 (STARTTLS) wird nicht genannt - funktioniert aber trotzdem
einwandfrei,
Port 587 ist der "submission" Port, der ist normalerweise fuer das direkte
einliefern von Mail per Mailclient an ein Mail-Relay gedacht, nicht fuer die
Kommunikation von Mailrelays unter sich.
Post by Andreas Hartmann
Ich habe mich nun versucht, schlau zu machen, sendmail via TLS über Port
465 mit mailbox.org zusammenzubringen.
Problem: mehr als einen TCP-Connect (SYN und SYN-ACK) kommt dabei nicht
raus. Irgendwie habe ich den Eindruck, dass sendmail auch mit dem Port
465 STARTTLS machen will - was der aber nicht unterstützt.
Haeng' doch einfach zwischen sendmail und den remote-Mailserver einen
"stunnel" dazwischen ("stunnel" macht dann die Verschluesselung und Ent-
schluesselung und sendmail spricht mit stunnel Klartext), das muesste
wohl funktionieren. Du hast dann eben einen zusaetzlichen laufenden
Prozess, aber das sollte nicht so stoerend sein.
Post by Andreas Hartmann
Die Frage ist nun: wie biege ich sendmail bei, SSL bzw. TLS auf dem Port
465 zu verwenden und *nicht* STARTTLS?
Wie oben geschrieben: lass es doch stunnel machen und lass sendmail mit
stunnel nur Klartext reden.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
Andreas Hartmann
2017-02-01 19:50:07 UTC
Permalink
Hallo Jürgen,

Dein Tip, stunnel zu verwenden, hat das Problem gelöst. Ist eigentlich
ganz einfach, wenn man den Trick kennt!


Danke,
Gruß,
Andreas
Andreas Kohlbach
2017-02-01 20:47:41 UTC
Permalink
Post by Juergen Ilse
Post by Andreas Hartmann
Ich bin hier gerade dabei, einen SMTP-Provider (mailbox.org) als
ausgehenden SMTP-Server zu konfigurieren mit sendmail.
In der offiziellen Doku von mailbox.org wird nur der Port 465 / SSL bzw.
TLS genannt.
Port 587 (STARTTLS) wird nicht genannt - funktioniert aber trotzdem
einwandfrei,
Port 587 ist der "submission" Port, der ist normalerweise fuer das direkte
einliefern von Mail per Mailclient an ein Mail-Relay gedacht, nicht fuer die
Kommunikation von Mailrelays unter sich.
Ich habe Gmail als Smarthost und verbinde über Port 587. Weil für normale
User 25 outbound beim ONU ISP-Provider blockiert wird. 587 funktioniert
zumindest.
--
Andreas
You know you are a redneck if
any of your kids were conceived in a car wash.
Tim Ritberg
2017-02-02 21:07:53 UTC
Permalink
Post by Juergen Ilse
Port 587 ist der "submission" Port, der ist normalerweise fuer das direkte
einliefern von Mail per Mailclient an ein Mail-Relay gedacht, nicht fuer die
Kommunikation von Mailrelays unter sich.
Ja, Smarthost, hat er doch vor, hab ich so verstanden...

Tim

Loading...