Nextcloud SMTP Server Fehler

Fleuwufie59

Hallo

Ich versuche für den hauseigenen NC-Server (RasPi 4) eine Bluewin-Adresse als Mail-Server zu konfigurieren, leider erhalte ich dauernd die angehängten Fehleremeldungen. Das PW ist dasjenige des Mailkontos, die Servereinstellungen sind von der Swisscom-Seite übernommen. Die Fehlermeldung ändert je nachdem ob SSL oder STARTTLS als Verschlüsselung gewählt wird, aber eine Testmail konnte ich nie senden. Mailversand mit identischer Konfiguration via Apple-Mail funktioniert.

Kann mir jemand weiterhelfen?

Besten Dank und liebe Grüsse

Fehlermeldung SSL: https://ibb.co/jfyk16C

Fehlermeldung STARTTLS: https://ibb.co/CVJXDdF

DomiP

Hallo @Fleuwufie59

ich hatte das selbe Problem auch einmal.

Das Problem war, dass einige Provider - darunter unter anderem die Telekom und Bluewin solche Anfragen blockiert haben, da die IP deines Servers erstens nicht statisch ist - dies kann ab und zu sein, dass das um Spam zu verhindern von den Mail-Diensten geblockt wird.

Dann hast du unter der SSL-Fehlermeldung anscheinend die Info, dass das SSL nicht zugelassen ist. Ich gehe mal davon aus, dass du ein selbstsigniertes SSL-Zerti nutzt. Diese werden nicht als Vertrauenswürdig angesehen, da sie nicht von einer Certificate Authority bestätigt wurde.

Das Starttls sieht eigentlich korrekt aus, da du eine 200er-Response (immer Positiv) erhälst. Jedoch ist die Antwort des Servers leer, was heissen könnte, dass deine Eingaben fehlerhaft oder nicht erlaubt waren.

Eventuell kann dir die Doku noch weiterhelfen: https://docs.nextcloud.com/server/13/admin_manual/configuration_server/email_configuration.html

Gruess,

Dominik

Tux0ne

Die korrekte Einstellung ist schon auf Port 465 mit ssl/tls

Teste mal direkt auf dem OS ob der Zugriff funktioniert:

https://www.tuxone.ch/2019/06/tls-terminal-verbindung-zu-smtp.html

Allfällige Fehler werden dir da angezeigt.

Sollte es da funktionieren, kannst du es mal noch mit der Authentifizierung Plain (Klartext) statt Login (Anmelden) versuchen. Kann ja sein das nc da einen Bug hat. Einen Nachteil gibt es bei Plain zu Login über SSL/TLS nicht.

Fleuwufie59

Sali @DomiP und danke für deine Antwort.

Das SSL-Zerti läuft über Let's Encrypt, als DynDNS-Dienst nutze ich das Swisscom-eigene Angebot. Mir scheint, dass tatsächlich hier der Hund begraben liegen könnte und die selbstsignierten SSL-Zertis nicht anerkannt werden. Irgendeine Idee wie man dieses Problem lösen könnte?

Beste Grüsse

Fleuwufie59

Merci für den hilfreichen Beitrag inkl. Tutorial @Tux0ne!

Habe den Zugriff getestet und er funktioniert tadellos. Leider kriege ich auch mit Klartext-Authetifizierung keine Verbindung hin.

Meine Vermutung ist, dass das Problem eher bei den Bluewin-Einstellungen bzgl. selbstsigniertes SSL oder dynDNS liegen könnte, wie @DomiP das angesprochen hat...

Beste Grüsse

DomiP

@Fleuwufie59 schrieb:

Sali @DomiP und danke für deine Antwort.

Das SSL-Zerti läuft über Let's Encrypt, als DynDNS-Dienst nutze ich das Swisscom-eigene Angebot. Mir scheint, dass tatsächlich hier der Hund begraben liegen könnte und die selbstsignierten SSL-Zertis nicht anerkannt werden. Irgendeine Idee wie man dieses Problem lösen könnte?

Beste Grüsse

@Fleuwufie59 Let's Encrypt stellt eigentlich keine Probleme dar, da diese durch eine valide CA authorisiert werden. Dadurch hast du oben in der Adressleiste eigentlich auch ein Schloss.

Jedoch kann es sein, dass etwas fehlerhaft eingegeben wurde. Da ich jetzt nicht genau weisst, welche Software für die Erstellung der Zertifikate genutzt hast, kann ich das auch nicht ausgrenzen.

Ich würde dir jedoch Empfehlen, dass du das Programm für die Erstellung vom Gerät löschst und anschliessend CertBot nutzt. Eine Ausführliche Anleitung für Debian und Apache findest du hier: https://certbot.eff.org/lets-encrypt/debianstretch-apache andere Betriebssysteme und Serverversionen kannst du dann auch von der Startseite aus auswählen.

Was du eventuell auch noch ausprobieren könntest, wäre wirklich ein "unsicheres" Zertifikat zu erstellen. Also eigentlich erzwingen, dass Fehlermeldungen erscheinen. Dafür würde ich dir OpenSSL empfehlen: https://www.linux.com/tutorials/creating-self-signed-ssl-certificates-apache-linux/

Gruess,

Dominik

Tux0ne

Ich denke nicht das es ein Problem mit dem Serverzertifikat deines Raspi ist, da du hier ja nur den Mail Client von Nextcloud einrichten möchtest, dass dieser Status Meldungen oder so senden kannst oder? Die Konfiguration eines eigenen Mailservers ist eine ganz andere Geschichte. Da spielen Zertifikate auch eine Rolle aber DNS und IP genauso.

Ich würde es mal mit einem anderen Mail Konto zB von gmail oder gmx versuchen um zu prüfen ob es sich um ein generelles Problem oder nur eines im Zusammenspiel mit den Bluewin Mail Servern handelt.

DomiP

@Tux0ne ist es möglich, dass irgendwo im Bluewin-Mail noch etwas für solche Zwecke freigeschaltet werden muss?

Mir kam gerade in den Sinn, als du vom Gmail oder GMX gesprochen hast, dass ich mal ein ähnliches Programm hatte; damals habe ich einen Client Programmiert, der eine PDF-Datei an den HP-EPrint-Dienst sendet... Bei mir wurde Bluewin zuerst auch blockiert und mit Outlook hatte es geklappt, nachdem ich einige Captchas und Telefon-Verifikationen machen musste. Bei Outlook hiess es, dass man diese Schritte machen muss, damit Spam-Bots vermieden werden...

Tux0ne

Nein bei Bluewin nicht da ist der Mail Zugang mit konventionellen Clients offen. Bei gmail und gmx hingegen muss man das zuerst mal in den Einstellungen erlauben.

Fleuwufie59

Danke @Tux0ne & @DomiP für eure Vorschläge. Ich habe das SSL-Zertifikat via SSL Labs getestet und es scheint i.O. zu sein, einzig DNS CAA fehlt - wie relevant das ist entzieht sich leider meiner Kenntnis.

Ich habe es nun übere eine gmail-Adresse versucht. Trotz IMAP-Zugriff und aktiviertem Zugriff durch weniger sichere Apps erhalte ich folgende Fehlermeldung:

Beim Senden der E-Mail ist ein Problem aufgetreten. Bitte überprüfe Deine Einstellungen. (Fehler: Connection could not be established with host smtp.gmail.com [php_network_getaddresses: getaddrinfo failed: Name or service not known #0])

Die Sache scheint also irgendwie komplizierter zu sein als erwartet. Eventuell liegt das Problem bei der Serverkonfiguration. Da ich NextcloudPi nutze, habe ich diese primär über den Wizard erstellt und kaum selbst Hand angelegt.

Liebe Grüsse

DomiP

Hallo @Fleuwufie59,

dann würde ich eher sagen, dass das Problem bei Nextcloud oder der PHP-Installation liegt...

Fehler, welche mit PHP und Mailing zusammenhängen zeigen in vielen Fällen auf den PHPMailer. Es gibt fälle, wo ein Neustart des PHP-Runtime-Elements den Fehler beheben können.

Versuche es mal mit diesen Commands:

restart php-fpm

oder dem:

service php-fpm restart

Wenn das nicht funktioniert, würde ich ansonsten TESTWEISE ein anderes Betriebssystem auf eine andere, leere SD-Karte schreiben. Ich empfehle dir DietPi. Dort kannst du über den App-Manager Nextcloud direkt installieren. Dabei musst du nichts weiter Einstellen als deine User-Informationen eingeben.

Theoretisch sollte es dann dort sauber funktionieren.

DietPi: https://dietpi.com/ | App-Manager - Nextcloud: https://dietpi.com/phpbb/viewtopic.php?t=2607

burkhre

Hallo,

ich habe dasselbe Probem mit dem Nextcloud-Container auf dem Raspi.

Ich habe in einem anderen Forum nachfolgenden Hinweis gefunden, aber noch nicht getestet:

https://help.nextcloud.com/t/smtp-ssl-error-unable-to-connect/72882/7

Just had the same problem.

The only solution sadly is to make your mail provider use better encryption. Make them use Diffie-Hellmann parameters (MODP) of at least 2048 bit length.

However, there is a workaround you could use, but really should not, since it weakens the security of ALL encrypted connections made by your server, acting as a TLS client.
Edit /etc/ssl/openssl.cnf to read

CipherString = DEFAULT@SECLEVEL=1

instead of the default

CipherString = DEFAULT@SECLEVEL=2

Rene

burkhre

In der neueren Version von Nextcloud gibt es auch die (undokumentierte) Möglichkeit, den Security-Level direkt im config.php zu definieren ohne dass man den SSL Security Level des ganzen Systems ändern muss:

In der Datei config/config.php einfach vor der letzten Klammer folgende Zeilen dazufügen:

'mail_smtpstreamoptions' =>
array (
'ssl' =>
array (
'security_level' => 1,
),
),

Das Dateiende von config.php sieht dann wie folgt aus:

.......

'mail_smtpmode' => 'smtp',
'mail_smtpsecure' => 'ssl',
'mail_sendmailmode' => 'smtp',
'mail_from_address' => '<meine-Mailaddresse>',
'mail_domain' => 'bluewin.ch',
'mail_smtpauthtype' => 'LOGIN',
'mail_smtpauth' => 1,
'mail_smtphost' => 'smtpauths.bluewin.ch',
'mail_smtpport' => '465',
'mail_smtpname' => '<meine-mailadresse>@bluewin.ch',
'mail_smtppassword' => '<meinPasswort>',
'mail_smtpstreamoptions' =>
array (
'ssl' =>
array (
'security_level' => 1,
),
),
);

SkyBeam

Zusätzlich zu dem was noch gesagt wurde:

Der STARTTLS Port ist 587 (client mail delivery) und nicht 465 (der ist für SSL).

Ausserdem hab' ich die Erfahrung gemacht, dass viele Leute hier ihr Mail-Passwort mit ihrem Swisscom-Login passwort vermischen. Hie und da hab' ich auch erlebt, dass das SMTP/IMAP Passwort erst funktioniert nachdem man im Kundencenter ein neues gesetzt hat.

Der Hinweis mit dem Encryption Level könnte aber durchaus ein Grund sein.

Bei Google muss man übrigens (sofern man die 2-Faktor Authentisierung aktiv hat) ein Anwendungsspezifisches Passwort generieren.