Fazit:
Das Synology NAS kann E-Mails mit dem Programm „nail“ direkt von der Konsole oder einem Script versenden. Bei mir hat es nicht auf Anhieg geklappt.
Nachdem der Provider empfohlen hatte, eine neue OpenSSL Version zu testen, wurde die Fehlersuche aufgegeben. Die Übertragung erfolgt bis auf Weiteres unverschlüsselt.
Aber nun der Reihe nach:
Ich möchte die Datei messages verschicken:
echo "test" | nail -v -s "test" -a "/var/log/messages" roman@krakovic.de
Zurück kommt:
Resolving host exchange-smtp.united-hoster.de . . . done. Connecting to 81.20.130.98 . . . DiskStation> could not connect: Connection timed out "/root/dead.letter" 518/49842 . . . message not sent.
Ich denke, dass mit der Config was nicht stimmt. Nail wird laut WIKI hier konfiguriert:
/opt/etc/nail.rc
set smtp=smtps://exchange-smtp.united-hoster.de:465 set from="diskstation@krakovic.de" set smtp-auth=login set smtp-auth-user=****** set smtp-auth-password=**** set ssl-verify=ignore
Sehr wahrscheinlich gibt es ein Problem mit SMTP und dem Port bei United-Hoster.de
Nach der Umstellung auf SMTP klappt es zuerst, aber nicht ganz:
DiskStation> echo "test" | nail -v -s "jkl" -a "/var/log/messages" ABC@XYZ.de Resolving host exchange-smtp.united-hoster.de . . . done. Connecting to 81.20.130.98 . . . connected. 220 exchange-smtp.united-hoster.de Microsoft ESMTP MAIL Service ready at Mon, 3 Aug 2015 10:25:49 +0200 >>> EHLO DiskStation 250-exchange-smtp.united-hoster.de Hello [178.19.226.141] 250-SIZE 104857600 250-PIPELINING 250-DSN 250-ENHANCEDSTATUSCODES 250-STARTTLS 250-AUTH GSSAPI NTLM LOGIN 250-8BITMIME 250-BINARYMIME 250 CHUNKING >>> AUTH LOGIN 334 VXNlcm5hbWU6 >>> cm9tYW5Aa3Jha292aWMuZGU= 334 UGFzc3dvcmQ6 >>> cjIyMDU2Nio= 235 2.7.0 Authentication successful >>> MAIL FROM: <diskstation@krakovic.de> 250 2.1.0 Sender OK >>> RCPT TO: <**********> 250 2.1.5 Recipient OK >>> DATA 354 Start mail input; end with <CRLF>.<CRLF> >>> . 550 5.7.1 Client does not have permissions to send as this sender smtp-server: 550 5.7.1 Client does not have permissions to send as this sender "/root/dead.letter" 0/0 . . . message not sent. DiskStation>
Der Server hat ein Problem damit, dass E-Mails „von Außen“ aus dem Internet zugestellt werden, er verfügt jedoch über den MX-Record für meine Domain.
Ändern wir den Absender:
set smtp=smtp://exchange-smtp.united-hoster.de:25 set from="diskstation@FAKEDOMAIN.de" set smtp-auth=login set smtp-auth-user=******** set smtp-auth-password=****** set ssl-verify=ignore
Nun funktioniert es – aber nur mit einem unverschlüsselten SMTP.
Der Provider united-hoster.de meint, smtps würde auch über Port 25 laufen. Das führt aber zu diesem Fehler:
DiskStation> ./testnail.sh DiskStation> could not initiate SSL/TLS connection: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol "/root/dead.letter" 11/343 . . . message not sent
Hier und hier urde das Thema auch diskutiert.
Hinweis:
This error happens when OpenSSL receives something other than a ServerHello
in a protocol version it understands from the server. It can happen if the server answers with a plain (unencrypted) HTTP. It can also happen if the server only supports e.g. TLS 1.2 and the client does not understand that protocol version. Normally, servers are backwards compatible to at least SSL 3.0 / TLS 1.0, but maybe this specific server isn’t (by implementation or configuration).
Jetzt muss man also SSL untersuchen, indem eine Verbindung per OPENSSL aufgebaut wird, zuerst zu 1&1
DiskStation> openssl s_client -connect smtp.1und1.de:587 -starttls smtp CONNECTED(00000003) depth=2 /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2 verify error:num=19:self signed certificate in certificate chain verify return:0 --- Certificate chain 0 s:/C=DE/O=1 und 1 Internet AG/ST=Rheinland-Pfalz/L=Montabaur/emailAddress=server-certs@1und1.de/CN=smtp.1und1.de i:/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=NRW/postalCode=57250/L=Netphen/street=Untere Indu striestr. 20/CN=TeleSec ServerPass DE-1 1 s:/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=NRW/postalCode=57250/L=Netphen/street=Untere Indu striestr. 20/CN=TeleSec ServerPass DE-1 i:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2 2 s:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2 i:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2 --- Server certificate -----BEGIN CERTIFICATE----- .. gekürzt.. puNDXW5M+/FFNBa63ea4e7MEXKv6zF2pVfPaOA/stqGZIQ== -----END CERTIFICATE----- subject=/C=DE/O=1 und 1 Internet AG/ST=Rheinland-Pfalz/L=Montabaur/emailAddress=server-certs@1und1.de/CN=smtp.1und1.de issuer=/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=NRW/postalCode=57250/L=Netphen/street=Untere In dustriestr. 20/CN=TeleSec ServerPass DE-1 --- No client certificate CA names sent --- SSL handshake has read 5631 bytes and written 488 bytes --- New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : DHE-RSA-AES256-SHA Session-ID: 4DF6D465F67677EF14BD85613C987E0C25C60E003D33E2C413F3F2BC4C3A5013 Session-ID-ctx: Master-Key: 3C48EEE6DC62967E6BF9157E14D944D525EC4E97238E8B9253313AA34EDD2CD865005F786571DD64706AA209F7B7ED83 Key-Arg : None Start Time: 1438599929 Timeout : 300 (sec) Verify return code: 19 (self signed certificate in certificate chain) --- 250 STARTTLS 421 kundenserver.de Service closing transmission channel - command timeout closed
Und nun zu united-hoster.de
DiskStation> openssl s_client -connect exchange-smtp.united-hoster.de:25 -starttls smtp CONNECTED(00000003) depth=1 /C=US/O=Thawte, Inc./OU=Domain Validated SSL/CN=Thawte DV SSL CA verify error:num=20:unable to get local issuer certificate verify return:0 --- Certificate chain 0 s:/OU=Go to https://www.thawte.com/repository/index.html/OU=Thawte SSL123 certificate/OU=Domain Validated/CN=exchange-smtp.united-hoster.de i:/C=US/O=Thawte, Inc./OU=Domain Validated SSL/CN=Thawte DV SSL CA 1 s:/C=US/O=Thawte, Inc./OU=Domain Validated SSL/CN=Thawte DV SSL CA i:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA --- Server certificate -----BEGIN CERTIFICATE----- .. gekürzt.. uVEfHJnS883S+KGhbOKXIGzIku2mS0dyaJNTaIXm7ZehuIXuUgZe2jayh19ePffW 427NKmCotLvpeGHE1chRXQYG2to+UAMaGeSPMtD0WYoIfi4bB/I7t1Nw97J3oXuL jg7WJNIZkp0iGfoflQ+/NZmrOcXJSNxv886epZUSU/mITi3Hw3F3oOlr7NZ21zGh A7J+kFZW5JG56YhA7n599Q/3SO9l1R40YmcsB4x/ni6jXsy98wkjTA== -----END CERTIFICATE----- subject=/OU=Go to https://www.thawte.com/repository/index.html/OU=Thawte SSL123 certificate/OU=Domain Validated/CN=exchange-smtp.united-hoster.de issuer=/C=US/O=Thawte, Inc./OU=Domain Validated SSL/CN=Thawte DV SSL CA --- No client certificate CA names sent --- SSL handshake has read 2970 bytes and written 488 bytes --- New, TLSv1/SSLv3, Cipher is AES128-SHA Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : AES128-SHA Session-ID: 650300004B99A5E43ED236797070D44DB6573EF198E0EA5FC5ED864160AF544D Session-ID-ctx: Master-Key: AABEEDB8705AB8E15EC311A330E5EEB7564DB20FF6CA76D569B7E4DD7BF696AAA5594D6FF34AFA4B9AC1DA79B1F27F59 Key-Arg : None Start Time: 1438600269 Timeout : 300 (sec) Verify return code: 20 (unable to get local issuer certificate) --- 250 CHUNKING
Die beiden Ausgaben unterscheiden sich. 1&1 liefert am Ende 250-STARTTLS und united-hoster.de 250-CHUNKING.
…..nächsten Hinweis gefunden:
I’m having a very similar issue with the SMTP-IMAP Round Trip sensor. I get the error „Error connecting with SSL. error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version“. From my research it appears that PRTG may be trying to connect directly to port 587 when outlook.com is expecting a STARTTLS command first before it begins encrypted communication. I have no proof, but it seems that this is the issue.
Fazit: Nachdem der Provider empfohlen hatte eine neue OpenSSL Version zu testen, wurde die Fehlersuche aufgegeben. Die Übertragung erfolgt bis auf Weiteres unverschlüsselt.