Kan geen mail meer versturen van eigen mailserver

MadPatrick13

Hoi

Sinds vandaag kan ik geen mail meer versturen van mijn eigen mail server

Ik had dit al jaren via de smpt.ziggo.nl relay host werkend, maar sinds vandaag gaat er niets meer uit.

Ik krijg in de log enkel een melding van een status-defered en timeout

Zojuist Ziggo gebeld, maar die kunnen me niet verder helpen en er is volgens hun niets geblokkeerd

relay=none, delay=2224, delays=2194/0.04/30/0, dsn=4.4.1, status=deferred (connect to smtp.ziggo.nl[xxx.xxx.xx.xx]:25: Connection timed out)

Bert

Poort 25 uitgaand wordt overal afgesloten bij Ziggo en is dan niet meer te gebruiken.

Bekijk in context

tobiastheebe

Houd er ook rekening mee dat de smtp.ziggo.nl alleen nog TLS 1.2 ondersteunt als versleuteling op poort 587.

Bekijk in context

Dave

Als je geen mail van eigen server kan sturen moet je de imap.mail.nl (je eigen host neerzetten ) kan zijn dat de service van je server er uit ligt.

Ik host ook domein en hosting en heb ook me eigen server en dat gaat wel goed, als je in je Cpanel even de Mail applicatie opzoekt staat daar ook het overzicht voor instellen. Mijn inkomende mail voor de server is mail.zxcs.nl poort 993 met imap 995 met POP en uitgaande zelfde maar Poort 465.

Let wel als je Poort 25 gebruikt deze doet het niet meer en 110 kan ook buiten werking zijn deze poort gaat langzaam dicht gezet worden.

Anders kan je altijd nog zo instellen.

Bert

Poort 25 uitgaand wordt overal afgesloten bij Ziggo en is dan niet meer te gebruiken.

MadPatrick13

Is dan nog wel een andere poort te gebruiken of sluit Ziggo nu alles af ?

Bijvoorbeeld 587

Dave

Poorten 587 en de Poorten die in mijn reactie staan kan je gewoon gebruiken, 587 is ook van hosting domein die kan je keurig gebruiken of 465. Ligt welk domein en server je hebt.

tobiastheebe

Houd er ook rekening mee dat de smtp.ziggo.nl alleen nog TLS 1.2 ondersteunt als versleuteling op poort 587.

MadPatrick13

Bedankt voor jullie reacties.

Ik ga er mee aan de slag.

Jammer dat de port wordt dichtgezet en als je naar de support belt ze zeggen dat alles open staat

tobiastheebe

De klantenservice is niet van alle technische wijzigingen op de hoogte. Ook betwijfel ik of ze jouw vraag wel goed begrepen hebben.

MadPatrick13

@tobiastheebe

Klopt. Technisch niveau ligt niet hoog.

Moest uitleggen wat een mailserver was en hoe dit werkte.

Überhaupt het woord Server zegt ze niets 😁

sjoerd001

Is volgens my niet helemaal waar. Ik gebruik nog steeds de oude protocollen en werkt nog steeds.

Mijn probleem is ook dat gmail het certificaat niet wil gebruiken omdat het een self-signed-certificaat is die wijst naar email.ziggo.nl in plaats van smtp.ziggo.nl

Volgens mij gaat het om de juiste verificatie van de gebruiker en hoe om te gaan met een niet helemaal vertrouwd certificaat. (Mijns inziens)

openssl s_client -connect smtp.ziggo.nl:587 -starttls smtp
CONNECTED(00000003)
depth=2 C = BM, O = QuoVadis Limited, CN = QuoVadis Root CA 2 G3
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
0 s:/C=NL/ST=Utrecht/L=Utrecht/O=Ziggo Services B.V./CN=email.ziggo.nl
    i:/C=BM/O=QuoVadis Limited/CN=QuoVadis Global SSL ICA G3
     1 s:/C=BM/O=QuoVadis Limited/CN=QuoVadis Global SSL ICA G3
        i:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 G3
         2 s:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 G3
            i:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 G3
            ---
            Server certificate
            -----BEGIN CERTIFICATE-----
            <removed>
            -----END CERTIFICATE-----
            subject=/C=NL/ST=Utrecht/L=Utrecht/O=Ziggo Services B.V./CN=email.ziggo.nl
            issuer=/C=BM/O=QuoVadis Limited/CN=QuoVadis Global SSL ICA G3
            ---
            No client certificate CA names sent
            ---
            SSL handshake has read 5898 bytes and written 436 bytes
            ---
            New, TLSv1/SSLv3, Cipher is AES256-SHA
            Server public key is 2048 bit
            Secure Renegotiation IS supported
            Compression: NONE
            Expansion: NONE
            SSL-Session:
            Protocol : TLSv1
            Cipher    : AES256-SHA

sjoerd001

Bij mijn weten v.w.b email alleen port 25 uitgaand en niet inkomend. (Lijkt mij ook logisch). Is al jaren zo. Maar ik gebruik ook al jaren 587 en smtp.ziggo.nl ,maar er kan van alles gebeurt zijn onderhand.

tobiastheebe

@sjoerd001 Dat klopt, TLS 1.0 en 1.1 zijn later opnieuw toegevoegd aan de ondersteunde versleutelingsmethodes. Wel is authenticatie (met gebruikersnaam en wachtwoord van een Ziggo-mailbox) nu altijd vereist. Als gebruik wordt gebruikt gemaakt van smtp.ziggo.nl als relay/smart host om mail te verzenden vanaf een afzender binnen een eigen domein, dan kan smtp.ziggo.nl worden toegevoegd aan het SPF-record van dit domein om te voorkomen dat mail door MTA's na smtp.ziggo.nl wordt geweigerd.

sjoerd001

als relay/smart host om mail te verzenden vanaf een afzender binnen een eigen domein, dan kan smtp.ziggo.nl worden toegevoegd aan het SPF-record van dit domein om te voorkomen dat mail door MTA's na smtp.ziggo.nl wordt geweigerd.

Nee. Alleen als je de uitgaande mailservers ( ip adressen die daadwerkelijk de mail verzenden) toevoegt in je SPF regel werkt het en niet de addressen waarnaar je de mail verzend. Een SPF record voor ziggo zou er dan mijns inzien er als volgt uitzien:

V=spf1 mx ip4:212.54.42.160/27

Hier komt het ip address van smtp.ziggo.nl niet in voor.

Ziggo zelf gebruikt:

include:smtp.spf.ziggo.nl en include:mail.ziggo.com

tobiastheebe

@sjoerd001 Je hebt gelijk, inderdaad niet de MSA maar de MTA's van Ziggo moeten worden opgenomen in de SPF-regel.

tobiastheebe

@sjoerd001 Na overleg met andere gebruikers in dit topic is gebleken dat het het beste include:smtp.spf.ziggo.nl kan worden opgenomen in het SPF-record, die FQDN verwijst namelijk naar een SPF-record met de volgende definities: v=spf1 ip4:212.54.32.0/19 ip4:84.116.6.0/24 ip4:84.116.50.0/24 ~all. Hierdoor is het niet nodig om handmatig een IPv4-subnet te specificeren. Overigens zou smtp.ziggo.nl bij nader inzien wel werken, deze verwijst naar v=spf1 ip4:212.54.32.0/19 ~all. Het genoemde subnet 212.54.42.160/27 met de outbound MTA's van Ziggo is onderdeel van 212.54.32.0/19 dat in beide SPF-records voorkomt.

sjoerd001

Ten eerste. Dank voor de info.

Tweede.

Werkelijk. Mijns inziens is dat een spf record alleen de uitgaande email adressen bevat. Als ziggo alle email adressen in hun spf record zetten is dit mijns inziens een potentieel spam probleem.

Iemand verstuurt een spoofed ip address en de ontvangende server geeft een reply. Als de aanvraag (data) kleiner is dan het antwoord (response) heb je direct een DDOS aanval. Daarom wordt in de spf record alleen de uitgaande servers ingesteld.

Een inkomende server handeld dit intern over een (beveiligde) verbinding met elkaar en niet via een uitgaande email server.

Als je de inkomende servers ook als uitgaande specificeerd lijkt mij niet de goede oplossing.

tobiastheebe

Ik ben het met je eens dat het vreemd lijkt dat alle mailservers zijn gespecificeerd in het SPF-record, i.p.v. alleen de uitgaande servers. Misschien kan @Richard G. zijn mening hier over geven.

Richard G.

Nee het klopt. Alleen de uitgaande mailservers worden in een spf record genoemd. Met inkomende heb je niets te maken. Die worden middels het MX record bijgehouden.

Als het spf record wat ik opgaf van ziggo, dus smtp.spf.ziggo.nl ook ontvangende mailservers bevat, dan betekent dit dat deze servers ook mail versturen kunnen anders hebben ze niets te zoeken in een spf record.

Richard G.

@sjoerd001Nog even een aanvulling over wat je schreef:

"Mijn probleem is ook dat gmail het certificaat niet wil gebruiken omdat het een self-signed-certificaat is die wijst naar email.ziggo.nl in plaats van smtp.ziggo.nl"

Ik denk niet dit je probleem is. In bepaalde gevallen is namelijk een self-signed certificate mogelijk in elk geval bij de Root CA certificates. Ga bijv. maar eens naar ssl-tools.net en voor daar planet.nl in om naar te zoeken. Dan zul je daar hetzelfde zien:

Certificate chain

mx.kpnmail.nl
- -466 days remaining
- 2048 bit
- sha256WithRSAEncryption

Iets soortgelijks met -xxx dagen is ook bij Ziggo te zien trouwens. En daar zie je ook dat het gewoon groen is, bij Ziggo ook een groen vinkje er achter. Deze worden duidelijk wel geaccepteerd.

Er is 1 ding om goed rekening mee te houden als je mail gaat versturen en Ziggo als smartrelay gaat gebruiken. Je hebt dan namelijk 2 authenticaties nodig.

1.) De ziggo authenticatie (username en password) om gebruik te kunnen maken van de smtp

2.) De e-mail authenticatie voor het mail adres waarvan je gaat versturen.

Voorheen had je via poort 25 uitgaand alleen 2.) nodig. Iedereen slaat extra aan het beveiligen, ook Gmail met zijn app passwords voor devices die geen oAuth2 ondersteunen bijvoorbeeld.
De volgenden die aan de beurt zijn is uitschakeling van TLS 1.0 en 1.1 en ik verwacht dat dit bij de meeste ISP's ook binnen 2 jaar geregeld is. Temeer nu Microsoft het bijv. ook bij Teams uitschakelt per 7 juli en al eerder elders.

sjoerd001

@tobiastheebe Ping.

@Richard G. Dank voor de info.

Jij schreef:

1.) De ziggo authenticatie (username en password) om gebruik te kunnen maken van de smtp

2.) De e-mail authenticatie voor het mail adres waarvan je gaat versturen.

1ste. Zelf gebruik ik sendmail met authinfo file met een ziggo mail address op port 587 en dat werkt. (Al een paar jaar)

2de. Heeft dit te maken met de dns info in de zone file. Denkend aan bijvoorbeeld dkim1 of iets degelijks dat juist moet worden ingesteld of gaat het alleen om het spf record met het juiste ip address voor uitgaand email ( voor betreffende domein waaruit verzonden wordt). Snap het nog niet helemaal waar ziggo op controleert i.c.m smtp.ziggo.nl

Verder snap ik dat tls1.0/1.1 uitgefaseerd wordt. Wordt tijd voor een nieuwe linux install.(Mijn probleem :))

PS: Hoop het een beetje duidelijk te maken.

Kan geen mail meer versturen van eigen mailserver

Niet gevonden wat je zocht?

Vind de oplossing met onze zoekmachine

Stel je vraag aan andere community leden