Kein SMTP/TLS am Hotspot?!

Wohnzimmerhostblogger

< Einmal IMAP hassen | web.de "fälscht" Absender bei Mail-Weiterleitung >

Freitag, 5. Juli 2013

Kein SMTP/TLS am Hotspot?!

Wer kennt das nicht? Man sitzt bei einem Kaffee im Cafe und schreibt an einem asyncronen SMTP-Client... Da dies ja ein Entwicklungsschritt ist, arbeitet man auf einem vertrauten SMTP-Server und liest beim Testen den SMTP-Dialog mit:

> 220 ******************************************
< EHLO qccore2-test.virtual.tiggersystems.info

> 250-mail.tiggerswelt.net
> 250-PIPELINING
> 250-SIZE 104857600
> 250-VRFY
> 250-ETRN
> 250-XXXXXXXA
> 250-AUTH PLAIN LOGIN
> 250-AUTH=PLAIN LOGIN
> 250-ENHANCEDSTATUSCODES
> 250-8BITMIME
> 250 DSN

Huch? Merkwürdig! Sowohl das "initial Greeting" des Servers und die StartTLS-Erweiterung in den Server-Features sind "geschwärzt". Was soll denn das? Ich weiß zwar mit welchem Server ich mich da verbinde, insofern ist mir das egal, aber warum darf ich denn angeblich kein StartTLS ausführen?

Da der Client explizit dieses Feature für der TLS-Aushandlung prüft also kurz diesen Check auskommentiert und "brute force" StartTLS versucht:

< STARTTLS
> 502 5.5.2 Error: command not recognized

Böse! Ich möchte ja jetzt keine Verschwörungstheorien a la Snowden und PRISM niederschreiben, aber es ist schon sehr merkwürdig, dass der Hotspot der Telekom verhindert, dass eine SMTP-Verbindung per TLS verschlüsselt werden kann.

Ach ja, nur der Vollständigkeit halber: Lege ich dann eine SSL-Verschlüsselte VPN-Sitzung über diese Verbindung funktioniert es sofort und wie gewünscht:

> 220 mail.tiggerswelt.net ESMTP TiggerMail/1.25
< EHLO qccore2-test.virtual.tiggersystems.info

> 250-mail.tiggerswelt.net
> 250-PIPELINING
> 250-SIZE 104857600
> 250-VRFY
> 250-ETRN
> 250-STARTTLS
> 250-AUTH PLAIN LOGIN
> 250-AUTH=PLAIN LOGIN
> 250-ENHANCEDSTATUSCODES
> 250-8BITMIME
> 250 DSN
< STARTTLS

> 220 2.0.0 Ready to start TLS
[TLS-Aushandlung]
< EHLO qccore2-test.virtual.tiggersystems.info

> 250-mail.tiggerswelt.net
> 250-PIPELINING
> 250-SIZE 104857600
> 250-VRFY
> 250-ETRN
> 250-AUTH PLAIN LOGIN
> 250-AUTH=PLAIN LOGIN
> 250-ENHANCEDSTATUSCODES
> 250-8BITMIME
> 250 DSN

Geschrieben von Bernd Holzmüller in Die Welt da draußen, Technik um 14:59 | Kommentare (7) | Trackbacks (0)

Trackbacks
Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

Hanlon’s Razor: Schreibe nichts der Böswilligkeit zu, was durch Dummheit hinreichend erklärbar ist.

Das sieht nach default Einstellungen einer Cisco Firewall (PIX/ASA) aus.
#1 Charlie am 05.07.2013 15:29 (Antwort)
Das erinnert mich an folgenden Beitrag zum Thema T-Mobile UK und SSL: https://grepular.com/Punching_through_The_Great_Firewall_of_TMobile
Das passt zusammen ins Bild was sie da machen.
In UK werden die Verbindungen aber zurückgesetzt statt direkt blockiert. Kommt unterm Stricht aber aufs gleiche raus.
Hast du mal versucht auf dem dedizierten SSL Port zu connecten? Geht es?
#2 nico (Homepage) am 05.07.2013 15:57 (Antwort)
Nein, habe ich nicht. Mein Socket-Layer kann "leider" (noch) "nur" Verbindungen im Nachhinein verschlüsseln. Den Submission-Port wollte ich auch einmal versuchen, aber dann waren sowohl Kaffee und auch Laptop-Akku am Ende.

... es wird ein nächstes mal geben!
#2.1 Bernd Holzmüller (Homepage) am 05.07.2013 16:05 (Antwort)
Kleiner Nachtrag:
Sowohl der dedizierte SMTPS-Port (465) wie auch der erst einmal nicht verschlüsselte Submission-Port (587) mit anschließendem StartTLS funktionieren ;-)
#2.2 Bernd Holzmüller (Homepage) am 07.07.2013 18:18 (Antwort)
Ja, das sieht aus wie nicht konfigurierte Firewall von Cisco. :-) Ein Klassiker.
#3 Sebastian am 05.07.2013 16:29 (Antwort)
Okay, "nicht konfiguriert" ist vielleicht falsch formuliert. Das Feature ist jedenfalls nicht abgeschaltet.
#3.1 Sebastian am 05.07.2013 16:31 (Antwort)
Bekanntes "Problem" bei Cisco PIX/ ASA. Die finden verschlüsselte SMTP Verbindungen doof, da die SMTP Inspection da nicht reinschauen kann. Das Problem lässt sich mittels policymap und allow-tls lösen.
#4 Patrick (Homepage) am 05.07.2013 20:58 (Antwort)

Kommentar schreiben

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
 
 

Suche

Read this blog!

Linux und Christoph
Pssssst!
magerquark.de
Mein Papa bloggt(e?) (inaktiv)
Löser, Schlichter, Papa
Bestatterweblog

Archive

Kategorien



Alle Kategorien

Blog abonnieren

Buttons

tiggersWelt.net

Written with s9y

Kommentare

Bernd Holzmüller zu Wir speichern ja keine Klartext-Passwörter, aber...
Fr, 20.10.2017 13:09
Das heißt dann ja eindeutig, d ass sie Dein Passwort in Klart ext speichern. Ist schon zu lange her, dass ich mich mit PPP(oE), CHAP und PAP auseinan derg [...]
Malte zu Wir speichern ja keine Klartext-Passwörter, aber...
Fr, 20.10.2017 13:05
Ich hatte (Wochen) bevor ich m einen DSL-Anschlussbrief von 1 &1 bekommen habe im Kundeninte rface das DSL-Passwort geänder t. Im Anschlussbrief war st and [...]
Bernd Holzmüller zu Domaintransfer #faireinfacht
Mi, 28.06.2017 11:29
Diese Information ist für Inte ressierte bereits in der Übers chrift enthalten. Ich glaub e nicht, dass es mir obliegt d en Marktbegleiter durch expliz ite [...]
Alphager zu Domaintransfer #faireinfacht
Mi, 28.06.2017 11:11
Hier hilft nur name and shame.
Tux2000 zu Bestes Firmware-Update der Geschichte
Mi, 12.04.2017 00:09
Klarer Fall von "Bootloader ve rgessen". Oder, fast noch schl immer: Bootloader so verkorkst , dass das Update nicht funkti oniert. Aber das Ding ist o hneh [...]

Notice this!

Impressum
Blog Top Liste - by TopBlogs.de