SSL-Fehler "wrong version number"

    So Alex, habe den Server nun komplett auf SSL bzw. Starttls umgestellt. An sich funktioniert das auch, aber diese Fehlermeldungen mache mich kirre und ich finde keine vernünftige Antwort auf diese kryprischen Meldungen.

    Code
    Aug 20 12:49:15 gb60 dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=111.111.111.111, lip=222.222.222.222, TLS: Disconnected, session=<Zdr0kH46CwC8wotA>
Aug 20 12:49:36 gb60 dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=111.111.111.111, lip=222.222.222.222, [COLOR=#FF0000]TLS handshaking: SSL_accept() failed: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number[/COLOR], session=<eVA2kn46DQC8wotA>
Aug 20 12:49:36 gb60 dovecot: imap-login: Disconnected: [COLOR=#FF0000]Too many invalid commands (no auth attempts in 0 secs)[/COLOR]: user=<>, rip=1111:1111:1111:1111:1111:1111:1111:1111, lip=2222:2222:2222:2222:2222:2222:2222:2222, session=<Mag3kn46DgAqAoENq7+8OKjNgoVS/JW9>
Aug 20 12:49:37 gb60 dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=1111:1111:1111:1111:1111:1111:1111:1111, lip=2222:2222:2222:2222:2222:2222:2222:2222, session=<tmo5kn46DwAqAoENq7+8OKjNgoVS/JW9>
Aug 20 12:49:37 gb60 dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=1111:1111:1111:1111:1111:1111:1111:1111, lip=2222:2222:2222:2222:2222:2222:2222:2222, TLS: Disconnected, session=</AE/kn46EAAqAoENq7+8OKjNgoVS/JW9>
Aug 20 12:49:37 gb60 dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=1111:1111:1111:1111:1111:1111:1111:1111, lip=2222:2222:2222:2222:2222:2222:2222:2222, [COLOR=#FF0000]TLS handshaking: SSL_accept() failed: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number[/COLOR], session=<GutCkn46EQAqAoENq7+8OKjNgoVS/JW9>
Aug 20 12:49:37 gb60 dovecot: imap-login: [COLOR=#FF0000]Disconnected (tried to use disallowed plaintext auth)[/COLOR]: user=<>, rip=1111:1111:1111:1111:1111:1111:1111:1111, lip=2222:2222:2222:2222:2222:2222:2222:2222, session=<xm1Hkn46EgAqAoENq7+8OKjNgoVS/JW9>

    So, das ganze tritt sehr seltsam auf. Meine Mailer auf den diversen Servern funktionieren. Mails senden und abrufen von Web-GMX lösen die Fehler auch nicht aus ??

    Das komische ist, der TB sendet um empfängt Emails, dennoch kommen die Meldungen alle 21 Minuten. Noch komischer. Mache ich den TB zu, dann kommen die Meldungen weiterhin. Es ist aber kein anderer Client aktiv ????

    Und ja, das kommt von mir. Die "111"-IPs sind die v4 und v6 von meinem Internetzugang, die "222"-IPs die vom Mailserver.

    Hast Du oder ein anderer einen Tipp, was die Fehler auslöst? Wie gesagt, kommt auch, wenn TB geschlossen ist.

    Und noch als Anmerkung zum TB. Dort habe ich 5 Konten. Alle sind auf STARTTLS eingestellt, die SMTP ebenfalls. Habe das sicherlich schon 20 mal kontrolliert.

    Ich weiß also nicht, wer a) sich da überhaupt einloggt und b) wie der Fehler zu umgehen ist ....

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    So, habe die Config nun noch mal durchgewühlt, ich sehe schon nur noch weiße Flecken auf schwarz.....

    In Dovecot war diese Anweisung drinnen, in Postfix nicht. Habe die nun mal rein, mal sehen was passiert.

    Aber seltsam ist es ja dennoch. Wie greift denn da meine lokale IP angeblich auf IMAP zu, wenn hier gar kein Mail-Client offen ist?

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    So, aus

    smtpd_tls_CAfile = /etc/letsencrypt/live/domain/chain.pem
    smtpd_tls_cert_file = /etc/letsencrypt/live/domain/cert.pem
    smtpd_tls_key_file = /etc/letsencrypt/live/domain/privkey.pem
    smtpd_tls_protocols = !SSLv2, !SSLv3
    smtpd_tls_security_level = may
    smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
    smtpd_use_tls = yes

    wurde jetzt

    smtpd_tls_CAfile = /etc/letsencrypt/live/domain/chain.pem
    smtpd_tls_cert_file = /etc/letsencrypt/live/domain/cert.pem
    smtpd_tls_key_file = /etc/letsencrypt/live/domain/privkey.pem
    smtpd_tls_protocols = !SSLv2, !SSLv3
    smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
    smtpd_tls_security_level = may
    smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
    smtpd_use_tls = yes

    Mal sehen was passiert. Der letzte Fehler war um 14:34, kommt also erst wieder um 14:55.

    Aber nochmal, nicht dass da was falsch läuft. Der Versand und Empfang an sich funktionieren und die Meldungen kommen ja nicht vom smtpd, sondern von dovecote ;)

    Ach ja, die Fritte hatte ich auch schon in Verdacht. Die ist aber auch umgestellt und die sendet auch korrekt. Vor allem sendet die nur um Mitternacht und der Test selbst geht auch.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    So, genau das gleiche wieder, diesmal mit Debug-Ausgabe

    Auf der Konsole....

    > openssl s_client -verify 3 -showcerts -connect gb60.host.de:imap -starttls imap -ssl3

    verify depth is 3
    CONNECTED(00000003)
    140633945065104:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1300:SSL alert number 40
    140633945065104:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:637:

    Das gibt einen Fehler, klar, weil ssl3 nicht erlaubt ist

    > openssl s_client -verify 3 -showcerts -connect gb60.host.de:imap -starttls imap -tls1

    das funktioniert und liefert keinen Fehler. Ebenso tls1_1 und tls1_2

    So, und eben TB wieder gestartet. So schaut der Login von einem Konto aus, also auch keine Fehler....

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Schade. Hat zwar nix mit dem Thema zu tun aber ich würde nur ipv4 zulassen. Bei mir gab's da mal Probleme mit Gmail.

    Bin erst wieder spät abends am Rechner, leider. Aber dazu fällt mir jetzt auch nix mehr ein.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!

    Support 24h Bereitschaft 0173 6107465 - NUR Für Kunden von SEO NW!

    Ist doch nicht weiter schlimm, kein Problem. Ich habe eh immer so seltsame Probleme ... *heul*

    So, bin aber einen Schritt weiter, werde aber nicht schlau draus, so gar nicht....

    Das ist irgendwas, was sich per SSL3 verbinden will und es nicht kann bzw. darf. Dann versucht es es nochmal ohne Verschlüsselung mit Plain-Text.

    Aber das ist definitiv etwas bei mir in der Wohnung bzw. im Netz, nur was?

    Die letzten Fehler waren um 16:40:37. Hätten also wieder sein müssen um 17:01:37 und 17:22:37, denn sie sind exakt immer 21 Min später.

    Habe dann um 17:00:05 meine Wohnung offline gestellt (Antennenleitung im Verteiler im Keller getrennt) und bin weg. Dann um 17:25 wieder aktiviert und im Log nachgesehen.

    Um 17:28:45 hat sich die Fritte zurückgemeldet und den Neustart gemailt. Aber die eigentlichen Meldungen von 17:01:37 und 17:22:37 fehlten diesmal.

    So, was habe ich hier, das Internetzugriff hat?

    PC
    Smartphone
    Tablet
    Fritz Box
    TV

    PC: scheidet eigentlich aus, denn dort sind nur Postfächer im TB eingerichtet und der war geschlossen über Stunden. Andere Programe haben keine Konten.

    Smartphone: scheidet auch aus, denn dort sind gar keien Konten eingerichtet, zudem ist es derzeit nicht im Netz, nur zwischendurch, manuell freigegeben.

    Tablet: Ist im Netz und im Standby. Hat aber keine eingerichteten Konten.

    Fritz Box: Hat ein Konto, daber das geht. Die sendet aber ohne Netztrennung ohnehin nur um Mitternacht.

    TV: Hat eigentlich kein Konto, nur eine eingerichtete Adresse für Google-Store. Der TV ist aber den ganzen Tag aus.

    ^^ eigentlich scheidet somit alles aus. :wall:

    So, Frage an den Hellseher!?!? Was versucht sich hier per IMAP einzuloggen? Waschmaschine, Kühlschrank, Langhaarschneider? Neee....

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    jetzt ist es wieder da, aber mit einer neuen Zeit 17:54:37. Diesmal waren als also zum letzten Fehler (oder planmäßigen Fehler) keine 21 Min-Intervalle, aber die 37 Sek sind wieder die gleichen. Bin mal spaßeshalber 21 Min im Log zurück und was ist da? Nichts. Da war keine Aktivität. Die letzte davor war um 17:28 die Fritte und dann erst wieder um 17:35 eine Mail.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Irgend ne Toolbar oder plugin?
    Prüf mal deine Browser...
    Gmx vielleicht? Web.de oder schlimmeres?

    Würde ich evtl mit neuen sniffer probieren. Alles andere muss offline.

    Du bist doch nicht im darknet oder so. Würde da ansetzen.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!

    Support 24h Bereitschaft 0173 6107465 - NUR Für Kunden von SEO NW!

    Darknet? Ist so dunkel, kann mich nicht dran erinnern :bad:

    Plugins.... Addblock Plus, NoScript und DNS-Flush.

    Sniffer dachte ich mir auch schon, aber das ist soooo umständlich. Da muss ich den ganzen Traffik umbiegen :(

    Keine Toolbars. Virenscanner ist mehrfach drüber gelaufen. Serverdienste neu gestartet, Server mehrfach neu gestartet (ist nicht gut, denn der ist schon produktiv), Rechner neu gestartet, Es bleibt dabei. Jetzt hatte sich mit dem offline das Zeitfenster verschoben, aber es geht jetzt wieder alle 21 Min weiter. Der PC ist nun aus.

    Bin jetzt am Laptop und schon halb besoffen.... Warte auf meine Nachbarin, also dass die zu Hause ist und Lärm macht. Dann gehe ich wieder off und logge mich in deren Netz ein (die hat ne offene Routerfunktion am Tablet aktiv, die weiß es nur nicht. Geht aber nur, wenn ich im Wohnzimmer bin und sie auch oder im Bad).

    Mensch, wollte Feierabend machen oder mal was produktives tun. Nun liege ich im Wohnzimmer und sehe mir schon wieder Logfiles an :autsch:

    P.S. Ganz vergessen, was es noch unlogischer macht. Der neue Mailserver ist ja erst seit 10 Tagen öffentlich erreichbar. Alle möglichen Geräte wie Tablet oder TV, die eine Verbindung haben könnten, wie auch immer, die würden sich auf dem alten einloggen. Der ist noch online. Dort sind die Fehler aber nicht.

    Edit: 18:48 und 19:09 Fehler. 19:10 PC aus gemacht und Laptop an. Fehler um 19:30 kam nicht ....

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Ja Chris, auf allen Systemen läuft der gleiche Scanner. Avira. Ist aber überall die Überwachung von IMAP und SMTP deaktiviert, der scannt also nur POP3. Wobei der sicher aber nicht einloggen kann, denn der kennt die Konten ja nicht.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Immer seltsamer, ich verstehe nix mehr ....
    Das sagt mir TCPView alle 21 Minuten....

    Code
    svchost.exe    5720    TCPV6    [xxx:xxx:xxx:bc38:122:314:a408:e77d]    53397    [SERVER_IP6]    993    SYN_SENT                                        
svchost.exe    5720    TCPV6    [xxx:xxx:xxx:bc38:122:314:a408:e77d]    53908    [SERVER_IP6]    993    SYN_SENT    
[System Process]    0    TCPV6    [xxx:xxx:xxx:bc38:122:314:a408:e77d]    53404    [SERVER_IP6]    143    TIME_WAIT                                        
[System Process]    0    TCPV6    [xxx:xxx:xxx:bc38:122:314:a408:e77d]    53405    [SERVER_IP6]    143    TIME_WAIT                                        
[System Process]    0    TCPV6    [xxx:xxx:xxx:bc38:122:314:a408:e77d]    53918    [SERVER_IP6]    143    TIME_WAIT    4    248    5    278                        
[System Process]    0    TCPV6    [xxx:xxx:xxx:bc38:122:314:a408:e77d]    53919    [SERVER_IP6]    143    TIME_WAIT    
[System Process]    0    TCP    xxx.xxx.178.32    53400    SERVER_IP4    993    TIME_WAIT

    Die "xxx.xxx.178.32" ist meine locale IP-Adresse vom PC. Ebenso die "xxx:xxx:xxx:bc38:122:314:a408:e77d", die aus dem mir lokal zugeteilten Subnetz stammt.

    Verbindungsspezifisches DNS-Suffix: fritz.box
    IPv6-Adresse. . . . . . . . . . . : xxx:xxx:xxx:bc38:9483:3a9e:9ba5:9d81
    Temporäre IPv6-Adresse. . . . . . : xxx:xxx:xxx:bc38:122:314:a408:e77d

    IPv6-Präfix laut FritzBox: xxx:xxx:xxx:bc38::/62

    So, dann mal noch ein netstat hinterher, das sagt mir z.B.



    So, die Verbindungen laufen aber auch, wenn alle Programme zu sind ??? Allerdings meldet dann netstat keine mehr vom FF, TCPView aber schon.

    Ebenso laufen ständig Verbindungen zu Subs von "1e100.net", was wohl zu Google gehört. Aber eben auch, wenn alles zu ist.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    So, habe es gefunden !

    Vorab...

    Wenn der FF zu ist, dann meldet netstat nur

    Code
    Es konnten keine Besitzerinformationen abgerufen werden.
  TCP    [2a02:810d:abbf:bc38:122:314:a408:e77d]:54639  gb60:imaps             SYN_GESENDET    5720

    Also Virenscanner umgestellt auf einen falschen Port und geschaut was passiert. Nichts, der Fehler bleibt und es wird keiner wegen dem falschen Port registriert. Der Scanner scheidet also aus.

    Dann meldet TCPView unter anderem auch noch Zugriffe auf

    Code
    [System Process]    0    TCP    desktop-a1rd2t1.fritz.box    54613    162.125.66.1    https    TIME_WAIT            1    1.449                        
[System Process]    0    TCP    desktop-a1rd2t1.fritz.box    54609    157.55.194.132    https    TIME_WAIT                                        
[System Process]    0    TCP    desktop-a1rd2t1.fritz.box    54608    134.170.68.82    https    TIME_WAIT                                        
svchost.exe    1964    TCP    desktop-a1rd2t1.fritz.box    54625    191.232.139.254    https    ESTABLISHED    3    5.743    1    405

    obwohl zu dem Zeitpunkt kein einziges anderes Programm offen ist.

    162.125.66.1 = Dropbox, habe ich aber gar nicht
    157.55.194.132 = Azure
    134.170.68.82 = Microsoft
    191.232.139.254 = Bing-Bot

    So, dann aber mal Stopp. Das sind alles Dienste, die von MS sind oder von Windows verwendet werden! "System Prozess" und "svchost" sind auch von Win.

    "Kalender" durchgesehen, nicht eingerichtet. "Mail" durchgesehen, auch nicht eingerichtet, noch nicht mal vorher gestartet, Mailkonten angesehen, keine vorhanden. Alle Apps durchgesehen. Sind alle deaktiviert und alle Berechtigungen entzogen.

    Und dann plötzlich viel es mir auf. "Anmeldekonto"!. Wobei es das noch nicht mal ist, das stand bei "Email, Kalender und Kontakte" Ich nutze zwar ein lokales Konto und nicht das MS-Online-Teil, aber bei der Installation (war eine Neuinstallation nach HDD-Schaden) musste ich mich mit MSN verbinden. Das tat ich damals und dann stellte ich auf "lokal" um. Die hatten von mir aber keine Kontodaten in dem Sinne, sondern meine eigentliche Email und das Passwort von MSN, mehr nicht.

    Und genau das ist es! Win10 versucht nur anhand der Email ständig das Konto zu synchronisieren, obwohl die Synchronisation deaktiviert ist und es im MSN-Konto auch nichts gibt. Aber Win10 ist so schlau und macht das nicht mit dem MSN-Konto, sondern der Domain aus der Mail und das ist meine Webseite, also entsprechend mein Server und mein Mailserver. Und dann versucht es das auf allen Wegen, auf alle Arten.

    Adresse gelöscht und die Fehlermeldungen sind weg! Mensch, 3,5 Tage verloren, wegen so einem Mist. Und erschreckend, was da alles übers Netzwerk geht, obwohl alle Apps deaktiviert sind und nichts offen ist. Von wem die ständigen Zugriffe an Googles 1e100.net kommen weiß ich allerdings noch nicht. Alle möglichen Browser außer Edge und FF sind deinstalliert und die beiden geschlossen. Die Zugriffe laufen dennoch.

    Unterschied PC und Laptop. Am PC war es eine Neuinstallation nach einem Upgrade, da musste ich mich mit MSN authentifizieren. Beim Laptop war das schon mit Win8 erledigt und dann ein Upgrade auf Win10. Bei dem steht an entsprechender Stelle meine Email-Adresse nicht.

    Danke euch !

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Hast Du mit Chrome auch Google Update deinstalliert? Ansonsten vll. Safebrowsing von Google im FF.

    Edit: 1e100.net wird anscheinend von Google Safe Browsing verwendet. Warum das aber am laufen ist, wenn der FF geschlossen ist, ist eine andere Frage.

    Ja Chris, das ist Safe-Browsing, aber nicht nur. Es gibt eine Meldung von Google von 2009 zu, da steht drinnen, dass das ein System ist, über das alles abgewickelt wird, auch Teile von G+ und Youtube etc, um unter anderem XSS zu verhindern. Frag mich nun aber nicht, was das für eine Info war. Habe hier nun so viele Notizen und Logs rumliegen, dann ich schon nichts mehr finde.

    Und ja, habe Chrome samt Updater deinstalliert und noch alle anderen möglichen Chrome-Derivate zu gleich mit inkl. Andoid Studio ;)

    Wo die Prozesse her kommen, keine Ahnung. Vielleicht nutzt Avira da was oder eben auch Win10, wobei ich da eher auf letzteres tippen würde. Müsste ich mal mit dem Laptop vergleichen, aber erst heute Abend. Muss endlich mal weiter kommen, bin komplett unter Zeitdruck. Ich sehe es deutlich, da sind meist 2-6 aktiv. Dann wird einer beendet und ein anderer startet sofort. Die verbinden sich auch mit allen möglichen Ports, also in der Regel zu 98% mit http und https, aber imap, imaps und ftp waren auch schon dabei.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Also auf dem Laptop ist alles anders, ob das an der neuen Win-Version liegt, dieser 6705 ???

    Wenn ich nichts offen habe, dann sind das die beiden einzige Verbindungen die bestehen und das permanent. Ist wohl von Cortana, das man nicht mehr deaktivieren kann.

    Code
    svchost.exe    416    TCP    schleppi.fritz.box    49725    msnbot-191-232-139-123.search.msn.com    https    ESTABLISHED                                        
explorer.exe    5272    TCP    schleppi.fritz.box    49772    msnbot-191-232-139-134.search.msn.com    https    ESTABLISHED

    Witzigerweise gibt es diese beiden Verbindungen am PC nicht, dafür aber vieles andere.... Diese Verbindungen zu Google sind am Laptop nicht, noch nicht mal, wenn der FF offen ist und Chrome ist hier noch installiert. Am PC gibt es ständig zwei Verbindungen von Avira, hier keine einzige.

    Schon sehr seltsam, wie doch eigentlich gleiche Systeme so unterschiedlich sein können ;)

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(