<div dir="ltr"><div dir="auto"><div class="gmail_quote" dir="auto"><div dir="ltr">Hi List,<br></div><div dir="ltr"><div dir="auto"><div dir="ltr"><div dir="auto"><div dir="ltr"><div><div><div><div><div><div><div><div><div><div><div><br></div>I have just joined the stunnel community.<br><br></div>I am in the process of migrating our mailserver's public facing ports to stunnel for PCI compliance reasons.<br><br></div>So far i have managed to get working:<br><br></div>- imap (143/tcp) with starttls<br></div>- imaps (993/tcp)<br></div>- pop3 (110/tcp) with starttls<br></div>- pop3s (995/tcp)<br><br></div>My trouble is with smtp(25/tcp,587/tcp) with starttls.<br><br></div>I have now tried a couple different mail clients and everyone of them tells me that the server does not support the authentication protocols.<br><br></div>I have installed stunnel 5.44. Tee relevant parts in my config:<br><br>[mail2-imap]<br>protocol = imap<br>accept = 143<br>connect = <mail-fqdn>:143<br><br>[mail2-imaps]<br>accept = 993<br>connect = <mail-fqdn>:143<br><br>[mail2-pop3]<br>protocol = pop3<br>accept = 110<br>connect = <mail-fqdn>:110<br><br>[mail2-pop3s]<br>accept = 995<br>connect = <mail-fqdn>:110<br><br>[mail2-smtp]<br>protocol = smtp<br>accept = 25<br>connect = <mail-fqdn>:25<br><br>[mail2-smtps]<br>accept = 465<br>connect = <mail-fqdn>:465<br><br>[mail2-smtps-submission]<br>debug = 7<br>protocol = smtp<br>accept = 587<br>connect = <mail-fqdn>:587<br><br></div>In the logfile I have the following entries upon connecting<br><br>2018.04.30 09:20:50 LOG7[5]: Service [mail2-smtps-submission] started<br>2018.04.30 09:20:50 LOG7[5]: Option TCP_NODELAY set on local socket<br>2018.04.30 09:20:50 LOG5[5]: Service [mail2-smtps-submission] accepted connection from <a href="http://41.13.8.49:56890" rel="noreferrer noreferrer noreferrer" target="_blank">41.13.8.49:56890</a><br>2018.04.30 09:20:50 LOG6[5]: s_connect: connecting <a href="http://10.10.11.2:587" rel="noreferrer noreferrer noreferrer" target="_blank">10.10.11.2:587</a><br>2018.04.30 09:20:50 LOG7[5]: s_connect: s_poll_wait <a href="http://10.10.11.2:587" rel="noreferrer noreferrer noreferrer" target="_blank">10.10.11.2:587</a>: waiting 10 seconds<br>2018.04.30 09:20:50 LOG5[5]: s_connect: connected <a href="http://10.10.11.2:587" rel="noreferrer noreferrer noreferrer" target="_blank">10.10.11.2:587</a><br>2018.04.30 09:20:50 LOG5[5]: Service [mail2-smtps-submission] connected remote server from <a href="http://10.10.11.11:42466" rel="noreferrer noreferrer noreferrer" target="_blank">10.10.11.11:42466</a><br>2018.04.30 09:20:50 LOG7[5]: Option TCP_NODELAY set on remote socket<br>2018.04.30 09:20:50 LOG7[5]: Remote descriptor (FD=23) initialized<br>2018.04.30 09:20:50 LOG7[5]: RFC 2487 detected<br>2018.04.30 09:20:50 LOG7[5]:  <- 220 <mail-fqdn> ESMTP Postfix<br>2018.04.30 09:20:50 LOG7[5]:  -> 220 <mail-fqdn> stunnel for ESMTP Postfix<br>2018.04.30 09:20:51 LOG7[5]:  <- EHLO [100.125.153.220]<br>2018.04.30 09:20:51 LOG7[5]:  -> 250-<mail-fqdn><br>2018.04.30 09:20:51 LOG7[5]:  -> 250 STARTTLS<br>2018.04.30 09:20:51 LOG7[5]:  <- STARTTLS<br>2018.04.30 09:20:51 LOG7[5]:  -> 220 Go ahead<br>2018.04.30 09:20:51 LOG6[5]: Peer certificate not required<br>2018.04.30 09:20:51 LOG7[5]: TLS state (accept): before/accept initialization<br>2018.04.30 09:20:51 LOG7[5]: SNI: no virtual services defined<br>2018.04.30 09:20:51 LOG7[5]: TLS state (accept): SSLv3 read client hello A<br>2018.04.30 09:20:51 LOG7[5]: TLS state (accept): SSLv3 write server hello A<br>2018.04.30 09:20:51 LOG7[5]: TLS state (accept): SSLv3 write certificate A<br>2018.04.30 09:20:51 LOG7[5]: TLS state (accept): SSLv3 write key exchange A<br>2018.04.30 09:20:51 LOG7[5]: TLS state (accept): SSLv3 write server done A<br>2018.04.30 09:20:51 LOG7[5]: TLS state (accept): SSLv3 flush data<br>2018.04.30 09:20:51 LOG7[5]: TLS state (accept): SSLv3 read client certificate A<br>2018.04.30 09:20:52 LOG7[5]: TLS state (accept): SSLv3 read client key exchange A<br>2018.04.30 09:20:52 LOG7[5]: TLS state (accept): SSLv3 read certificate verify A<br>2018.04.30 09:20:52 LOG7[5]: TLS state (accept): SSLv3 read finished A<br>2018.04.30 09:20:52 LOG7[5]: TLS state (accept): SSLv3 write change cipher spec A<br>2018.04.30 09:20:52 LOG7[5]: TLS state (accept): SSLv3 write finished A<br>2018.04.30 09:20:52 LOG7[5]: TLS state (accept): SSLv3 flush data<br>2018.04.30 09:20:52 LOG7[5]: New session callback<br>2018.04.30 09:20:52 LOG7[5]:      2 server accept(s) requested<br>2018.04.30 09:20:52 LOG7[5]:      2 server accept(s) succeeded<br>2018.04.30 09:20:52 LOG7[5]:      0 server renegotiation(s) requested<br>2018.04.30 09:20:52 LOG7[5]:      0 session reuse(s)<br>2018.04.30 09:20:52 LOG7[5]:      2 internal session cache item(s)<br>2018.04.30 09:20:52 LOG7[5]:      0 internal session cache fill-up(s)<br>2018.04.30 09:20:52 LOG7[5]:      0 internal session cache miss(es)<br>2018.04.30 09:20:52 LOG7[5]:      0 external session cache hit(s)<br>2018.04.30 09:20:52 LOG7[5]:      0 expired session(s) retrieved<br>2018.04.30 09:20:52 LOG6[5]: TLS accepted: new session negotiated<br>2018.04.30 09:20:52 LOG6[5]: No peer certificate received<br>2018.04.30 09:20:52 LOG6[5]: Negotiated TLSv1.2 ciphersuite ECDHE-RSA-AES128-GCM-SHA256 (128-bit encryption)<br>2018.04.30 09:20:52 LOG7[5]: Compression: null, expansion: null<br>2018.04.30 09:20:52 LOG6[5]: Read socket closed (read hangup)<br>2018.04.30 09:20:52 LOG7[5]: Sending close_notify alert<br>2018.04.30 09:20:52 LOG7[5]: TLS alert (write): warning: close notify<br>2018.04.30 09:20:52 LOG6[5]: SSL_shutdown successfully sent close_notify alert<br>2018.04.30 09:20:52 LOG6[5]: TLS fd: Connection reset by peer (104)<br>2018.04.30 09:20:52 LOG6[5]: TLS socket closed (SSL_read)<br>2018.04.30 09:20:52 LOG7[5]: Sent socket write shutdown<br>2018.04.30 09:20:52 LOG5[5]: Connection closed: 156 byte(s) sent to TLS, 30 byte(s) sent to socket<br>2018.04.30 09:20:52 LOG7[5]: Remote descriptor (FD=23) closed<br>2018.04.30 09:20:52 LOG7[5]: Local descriptor (FD=22) closed<br>2018.04.30 09:20:52 LOG7[5]: Service [mail2-smtps-submission] finished (4 left)<br><br></div><div>This is the error I am getting from K9-Mail<br><img src="https://mail.google.com/mail/u/1/?ui=2&ik=8c8ab3b4f2&view=fimg&th=16315efad9110171&attid=0.1&disp=emb&realattid=ii_jgm1rtns1_16315e71907a08a5&attbid=ANGjdJ_IeNHlJVib_SnZvFegrwjSrA_e0JJnoUTiL05HaNZrOdNzWcOCCQGlF3Mzh8gfFtZSa_Xbr7tm9TkviQbtCge50-urYaEevkymZfhd-tIavYoX5dYFfWHqULk&sz=w600-h1066&ats=1525081419877&rm=16315efad9110171&zw&atsh=1" width="300" height="533"><br><br></div><div>The google mail app just tells me:<br><img src="https://mail.google.com/mail/u/1/?ui=2&ik=8c8ab3b4f2&view=fimg&th=16315efad9110171&attid=0.3&disp=emb&realattid=ii_jgm1sbte2_16315e775f260f1e&attbid=ANGjdJ9J6ayWO_AXxJ5flhzPTpZthX10iC1PnNQn5_X-1xlhqW65ONemptNSbhFdXEqoVAlCrdCi2zwoCQ1Uuf62x6zWn66XybNdxDGT0tVQWjVaUmu7boAW--wO748&sz=w600-h1066&ats=1525081419877&rm=16315efad9110171&zw&atsh=1" width="300" height="533"><br><br></div><div>Alpine (linux commandline smtp client)<br><br><img src="https://mail.google.com/mail/u/1/?ui=2&ik=8c8ab3b4f2&view=fimg&th=16315efad9110171&attid=0.2&disp=emb&realattid=ii_jgm1xglc4_16315eb1b82780ee&attbid=ANGjdJ_iFtLEMG-LwVEBusDU1wGmIAJ-kKQUJI9jYerMHX76NOMxxO_zluChCB9vh2HiG40VJjbTqYyJlMsNNuJcKiDGcWNiY1qL50d8xUzq9mccnW8LMxy8EQwG8HI&sz=w1066-h498&ats=1525081419877&rm=16315efad9110171&zw&atsh=1" width="533" height="249"><br><br></div><div>Any advise from the gurus?<br><br></div><div>Kind regards<br></div><div>Ian<br></div><div dir="ltr"><br></div></div></div></div></div>
</div></div></div>