Mail Server (Webbox) nicht mehr erreichbar, trotz Lets Encrypt Zertifikat (Domain wurde übertragen)

lycra

Guten Morgen zusammen,

ich habe ein Problem. Und zwar habe ich von Telekom nun endlich die Domain weggezogen weil deren Mailserver ständig auf Blacklisten von spamcorp etc. waren und wir mehr arbeit hatten Emails zu verschicken als alles andere.

Ich habe die Domain nun zu meinem Account bei INWX gezogen. Dort per externe NS Server auf meinen All Inkl Webspace.

Bei Allinkl habe ich dann die Domain: mail.domain.de per A Record in den DNS Settings auf meinen Server in der Firma wo David liegt geleitet.

Der Ping geht auch wunderbar durch. Komischerweise wurde dann nichts mehr erreicht.

Ich habe dann das aktuelle Lets Encrypt Zertifikat einmal gelöscht und dann neu bestellt. Das hat nach Portöffnung 80 auch wieder funktioniert.

SSL Labs zeigt mir allerdings nichts an, wirft nur eine Fehlermeldung, das es nicht erreichbar sei.

Habe ich irgendwas vergessen einzustellen?....

Die POP3 zum Abruf und SMTP Server mit den jeweiligen Einstellungen sind beim David Admin hinterlegt. Spricht abrufen am Server im Wlan klappt auch alles wunderbar. Nur von extern auf den Mailserver / Webbox zugreifen funktioniert nicht

Ich habe auch alle Dienste bereits einmal neugestartet:

Das steht im Webbox Monitor

Code

(DAVIDTLS) Initializing (OpenSSL 1.1.1b  26 Feb 2019)
(DAVIDTLS) TLS configuration...
(DAVIDTLS) - Selected Ciphers: Intermediate
(DAVIDTLS) - Allowed protocols: TLS 1.0: yes, TLS 1.1: yes, TLS 1.2: yes, TLS 1.3: yes
(DAVIDTLS) - Ciphers order: yes
(00000976) New Socket
(00000976) ReUseAddr          : 1
(00000976) OutOfBandDataInline: 1
(00000976) KeepAlive          : 5 minutes
(00000976) Socket Bound to Port 80
(00000976) listen
WebBox Active
(00000996) New Socket
(00000996) ReUseAddr          : 1
(00000996) OutOfBandDataInline: 1
(00000996) KeepAlive          : 5 minutes
(00000996) Socket Bound to Port 843
(00000996) listen
(00001008) New Socket
(00001008) ReUseAddr          : 1
(00001008) OutOfBandDataInline: 1
(00001008) KeepAlive          : 5 minutes
(00001008) Socket Bound to Port 443
(DAVIDTLS) Load module certificates...
(DAVIDTLS) Certificate not found: D:\David\apps\webbox\code\WBCERT.PEM (david© WebBox)
(DAVIDTLS) Try to load certificate: Let's Encrypt
(DAVIDTLS) SNI Common Name: mail.domain.de
(DAVIDTLS) SNI Subject Alternative Name: mail.domain.de
(DAVIDTLS) Certificate loaded: Let's Encrypt
(DAVIDTLS) 1 certificates loaded
(AC) Verification for renewal certificates...
Certificate state: \\srvdijckmail01\david\code\cert\ssl\mail.domain.de\certificate_private_chain.pem
Serial number: 03F4382BA4D1EDFAB0532130DF01676D1E73
Issuer CN: Let's Encrypt Authority X3
Issuer O: Let's Encrypt
Issuer C: US
Subject CN: mail.domain.de
Valid from: Fri, 20 Sep 2019 05:20:02 GMT
Valid to: Thu, 19 Dec 2019 05:20:02 GMT
Days left: 89
(AC) Renew 'Let's Encrypt', 30 days before expire: 59 days left (\\srvdijckmail01\david\code\cert\ssl\mail.domain.de\certificate_private_chain.pem)
(AC) Next renewal verification at 18-NOV-2019
(00001008) listen
WebBox SSL Active
(00000184) New Socket
(00000184) ReUseAddr          : 1
(00000184) OutOfBandDataInline: 1
(00000184) KeepAlive          : 5 minutes
(00000184) Socket Bound to Port 81
(00000184) listen
WebBox Second Port Active

Alles anzeigen

*stylistics*

Port Forwarding am Router bzw. Hardware Firewall?

Was kommt denn wenn du Extern per Https auf die Subdomäne zugreifst?

Was kommt dann im Monitor?

lycra

Das komische ist das er mich dann auf den Lancom router weiterleitet...

Verbindungen Testen:

Vorher kam immer die Webbox

Ich habe bei allen Servern (hauptserver, terminal srever etc auchs chon flushdns gemacht. DOrt wird die richtige IP angezeigt

Code

(DAVIDTLS) Initializing (OpenSSL 1.1.1b  26 Feb 2019)
(DAVIDTLS) TLS configuration...
(DAVIDTLS) - Selected Ciphers: Intermediate
(DAVIDTLS) - Allowed protocols: TLS 1.0: yes, TLS 1.1: yes, TLS 1.2: yes, TLS 1.3: yes
(DAVIDTLS) - Ciphers order: yes
(00000976) New Socket
(00000976) ReUseAddr          : 1
(00000976) OutOfBandDataInline: 1
(00000976) KeepAlive          : 5 minutes
(00000976) Socket Bound to Port 80
(00000976) listen
WebBox Active
(00000996) New Socket
(00000996) ReUseAddr          : 1
(00000996) OutOfBandDataInline: 1
(00000996) KeepAlive          : 5 minutes
(00000996) Socket Bound to Port 843
(00000996) listen
(00001008) New Socket
(00001008) ReUseAddr          : 1
(00001008) OutOfBandDataInline: 1
(00001008) KeepAlive          : 5 minutes
(00001008) Socket Bound to Port 443
(DAVIDTLS) Load module certificates...
(DAVIDTLS) Certificate not found: D:\David\apps\webbox\code\WBCERT.PEM (david© WebBox)
(DAVIDTLS) Try to load certificate: Let's Encrypt
(DAVIDTLS) SNI Common Name: mail.domain.de
(DAVIDTLS) SNI Subject Alternative Name: mail.domain.de
(DAVIDTLS) Certificate loaded: Let's Encrypt
(DAVIDTLS) 1 certificates loaded
(AC) Verification for renewal certificates...
Certificate state: \\srvdijckmail01\david\code\cert\ssl\mail.domain.de\certificate_private_chain.pem
Serial number: 03F4382BA4D1EDFAB0532130DF01676D1E73
Issuer CN: Let's Encrypt Authority X3
Issuer O: Let's Encrypt
Issuer C: US
Subject CN: mail.domain.de
Valid from: Fri, 20 Sep 2019 05:20:02 GMT
Valid to: Thu, 19 Dec 2019 05:20:02 GMT
Days left: 89
(AC) Renew 'Let's Encrypt', 30 days before expire: 59 days left (\\srvdijckmail01\david\code\cert\ssl\mail.domain.de\certificate_private_chain.pem)
(AC) Next renewal verification at 18-NOV-2019
(00001008) listen
WebBox SSL Active
(00000200) New Socket
(00000200) ReUseAddr          : 1
(00000200) OutOfBandDataInline: 1
(00000200) KeepAlive          : 5 minutes
(00000200) Socket Bound to Port 81
(00000200) listen
WebBox Second Port Active
New Connection 127.0.0.1 Accepted: 00001148
New Connection 127.0.0.1 Accepted: 00001156
New Connection 127.0.0.1 Accepted: 00001164
Processing New Connection: 00001148
Start Get & Parse TCP Message
Parse TCP Message failed
[0] Connection Terminated
Processing New Connection: 00001156
Start Get & Parse TCP Message
Parse TCP Message failed
[1] Connection Terminated
[2] Processing New SSL Connection: 00001164
[2] SSL accept Failed: 00001164
[2] Connection Terminated
[2] Connection finally ready to reuse
[1] Connection finally ready to reuse
[0] Connection finally ready to reuse

Alles anzeigen

lycra

Ok Komisch...

Ich habe nun mal beim Port Forwarding umgestellt.

Es war immer auf INTERNET; was auch immer geklappt hat.

Nun auf Glasfaser umgestellt und schon kommen emails rein...

Merkwürdig ist das..

*stylistics*

Damit sind die Gegenstellen gemeint (dein Internet Zugang), wenn die neue Gegenstelle anders heisst

ist das schon richtig

Kleiner Tipp einfach die Gegenstelle freilassen, dann ist es egal über welchen der Zugänge die Anfrage

kommt, sie geht dann immer auf das Ziel.

*stylistics*

Wenn du nicht gerade alte System per EAS anbindest, schalte doch TLS1.0 & 1.1 ab...

[Blockierte Grafik: https://www.ssllabs.com/images/collapse.png] # TLS 1.1 (suites in server-preferred order) TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 256
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) WEAK 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) WEAK 256
[Blockierte Grafik: https://www.ssllabs.com/images/collapse.png] # TLS 1.0 (suites in server-preferred order) TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 256
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) WEAK 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) WEAK

*stylistics*

Wenn du folgende Einstellungen anpasst, sieht das Ergebnis noch besser aus

lycra

Zitat von stylistics

Damit sind die Gegenstellen gemeint (dein Internet Zugang), wenn die neue Gegenstelle anders heisst
ist das schon richtig
Kleiner Tipp einfach die Gegenstelle freilassen, dann ist es egal über welchen der Zugänge die Anfrage
kommt, sie geht dann immer auf das Ziel.

Moin ich habe das nun mal gemacht, also mit der Gegenstelle einfach leer gelassen.

Geändert hatte sich eigentlich nichts, das war schon merkwürdig das es noch nicht funktioniert hatte...

Ggf waren noch nicht alle DNS Server auf die neue IP Adresse umgestellt.

lycra

Zitat von stylistics

Wenn du folgende Einstellungen anpasst, sieht das Ergebnis noch besser aus

Ich kann hier leider nicht draus kopieren. Und das abtippen ist ein wenig mühselig

lycra

Ok nun hab ich es doch gemacht
also auf Intermediate umgestellt, raus kopiert, die überflüssigen gelöscht und nun alles neu gestartet.

Hat sich abernichts großartiges verändert bei SSL Labs

*stylistics*

Muss der Protokoll Support und die Stärke der Chiffren.

*stylistics*

Und keine als WEAK definierten Chiffren

lycra

Also laut der aktuellen Analyse werden keine Weak mehr angezeigt ;

Danke für den TIpp! ;

Mail Server (Webbox) nicht mehr erreichbar, trotz Lets Encrypt Zertifikat (Domain wurde übertragen)

Jetzt mitmachen!

Benutzer online in diesem Thema