postfix/smtpd: SSL_accept error from xyz.amazonaws.com

[pangu]

Hi Debianer,

ich krieg unregelmäßig (alle paar Wochen mal) im log folgenden Eintrag von postfix/smtpd geliefert:

... postfix/smtpd[16988]: SSL_accept error from ec2-54-187-153-182.us-west-2.compute.amazonaws.com[54.187.153.182]: lost connection

Hinten ist immer die Domainendung *.amazonaws.com zu sehen. Ansonsten kriege ich keine Fehlermeldungen dieser Art von keinem weiteren Host.

Warum tritt das auf, wer oder was versucht denn da auf meinem smtpd zu connecten und bringt diesen Fehler? vor allem, wie krieg ich das gefixt? Ich kann natürlich 'ne regex-Regel schreiben, damit logcheck mir das in Zukunft nicht mehr per email sendet, aber das ist ja nicht die feine Art :p

[r4pt0r]

Ähnliches habe ich auch (sehr selten) in den Logs - allerdings etwas ausführlicher:

Code: Alles auswählen

postfix/smtpd[6346]: connect from ec2-54-69-208-188.us-west-2.compute.amazonaws.com[54.69.208.188]
postfix/smtpd[6346]: setting up TLS connection from ec2-54-69-208-188.us-west-2.compute.amazonaws.com[54.69.208.188]
postfix/smtpd[6346]: ec2-54-69-208-188.us-west-2.compute.amazonaws.com[54.69.208.188]: TLS cipher list "aNULL:-aNULL:ALL:+RC4:@STRENGTH"
postfix/smtpd[6346]: SSL_accept error from ec2-54-69-208-188.us-west-2.compute.amazonaws.com[54.69.208.188]: lost connection
postfix/smtpd[6346]: lost connection after STARTTLS from ec2-54-69-208-188.us-west-2.compute.amazonaws.com[54.69.208.188]
postfix/smtpd[6346]: disconnect from ec2-54-69-208-188.us-west-2.compute.amazonaws.com[54.69.208.188]

Sieht aus als würde hier abgefragt welche cipher angeboten werden, da die Verbindung direkt danach wieder abgebrochen wird...
Sonstige mails von amazon werden bei mir immer ohne gesicherte Verbindung eingeliefert (unverschlüsseltes SMTP), trotz "smtpd_security_level = may".
Könnte mir vorstellen, dass die mailserver nur schwache cipher unterstützt (bei mir: smtp(d)_tls_mandatory_ciphers = high) und statt bei jeder zustellung abzufragen wird hier bulkmäßig von separaten Servern (...amazonaws.com) regelmäßig abgefragt was die Ziel-Mailserver unterstützen... (ganz wilde mutmaßungen )

[stein]

Könnte mir vorstellen, dass die mailserver nur schwache cipher unterstützt (bei mir: smtp(d)_tls_mandatory_ciphers = high) und statt bei jeder zustellung abzufragen wird hier bulkmäßig von separaten Servern (...amazonaws.com) regelmäßig abgefragt was die Ziel-Mailserver unterstützen... (ganz wilde mutmaßungen )

Der Aufwand fuer solch ein Set-up wuerde den Gewinn von einigen wenigen ms nicht lohnen.

Sieht aus als würde hier abgefragt welche cipher angeboten werden, da die Verbindung direkt danach wieder abgebrochen wird...

Das lost connection deutet darauf hin, dass postfix nicht weiss, warum die Verbindung abbrach. Bei cipher oder protocol mismatches bekommt das der andere mit, auch bei zertifikats-fehlern, oder negativen OCSP-Ergebnissen.

In postfix-IRC logs, habe ich folgendes gefunden:

[18:36:01] <chudler> scanner.sslsonar.org is probing: "SSL_accept error from ec2-54-191-158-13.us-west-2.compute.amazonaws.com[54.191.158.13]: lost connection\nlost connection after STARTTLS..." I wonder what they did to cause the SSL_accept error

Ich kann die Seite nicht erreichen, aber ich halte das fuere die sehr wahrscheinliche Erklaerung.

P.S.: Ich habe auch einige solcher Eintrage in meinen logs.

[r4pt0r]

Könnte mir vorstellen, dass die mailserver nur schwache cipher unterstützt (bei mir: smtp(d)_tls_mandatory_ciphers = high) und statt bei jeder zustellung abzufragen wird hier bulkmäßig von separaten Servern (...amazonaws.com) regelmäßig abgefragt was die Ziel-Mailserver unterstützen... (ganz wilde mutmaßungen )

Der Aufwand fuer solch ein Set-up wuerde den Gewinn von einigen wenigen ms nicht lohnen.

Wenige ms * mehrere mio mails am tag = mehrere mio ms....

Sieht aus als würde hier abgefragt welche cipher angeboten werden, da die Verbindung direkt danach wieder abgebrochen wird...

Das lost connection deutet darauf hin, dass postfix nicht weiss, warum die Verbindung abbrach. Bei cipher oder protocol mismatches bekommt das der andere mit, auch bei zertifikats-fehlern, oder negativen OCSP-Ergebnissen.

In postfix-IRC logs, habe ich folgendes gefunden:

[18:36:01] <chudler> scanner.sslsonar.org is probing: "SSL_accept error from ec2-54-191-158-13.us-west-2.compute.amazonaws.com[54.191.158.13]: lost connection\nlost connection after STARTTLS..." I wonder what they did to cause the SSL_accept error

Ich kann die Seite nicht erreichen, aber ich halte das fuere die sehr wahrscheinliche Erklaerung.

P.S.: Ich habe auch einige solcher Eintrage in meinen logs.

Baut man per telnet eine Verbindung auf und bricht nach "starttls" einfach ab, erzeugt das den selben logeintrag (lost connection).
Wenn amazonaws halbwegs regelmäßig verbinden würde, könnte man smtpd_tls_loglevel hochdrehen - steht bei mir schon erhöht auf 2, darüber erzeugt es (mir persönlich) dann aber doch zu viel rauschen um es "mal eben" mehrere wochen so zu lassen...

[DeletedUserReAsG]

Wenn amazonaws halbwegs regelmäßig verbinden würde, […]

Man sollte bedenken, dass das keine MTA der Firma Amazon sein müssen, sondern sich jeder so’n Dingens mieten und damit Unsinn machen könnte. Insofern ist’s nicht ausgeschlossen, dass das einfach nur irgendwelche Scans auf irgendetwas sind, die von irgendwelchen bösen Menschen initiiert werden.

[pangu]

Das stimmt, ja. Aber wenn ich mir die Whois-Daten von dieser Domain anschaue, dann sieht's danach aus, dass wirklich Amazon dahintersteckt:

Registrar: MarkMonitor, Inc.
Registrar IANA ID: 292
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone: +1.2083895740
Domain Status: clientUpdateProhibited
Domain Status: clientTransferProhibited
Domain Status: clientDeleteProhibited
Registry Registrant ID:
Registrant Name: Legal Department
Registrant Organization: Amazon.com, Inc.
Registrant Street: PO BOX 81226
Registrant City: Seattle
Registrant State/Province: WA
Registrant Postal Code: 98108-1226
Registrant Country: US
Registrant Phone: +1.2062664064
Registrant Phone Ext:
Registrant Fax: +1.2062667010
Registrant Fax Ext:
Registrant Email:

auch wenn das nicht direkt mit dem hier angesprochenen Fall zu tun hat, habe ich auf dieser Amazon-Seite hier eine Erklärung von Verbindungsarten gesehen.

Einige weitere Punkte, die damit in Zusammenhang stehen könnten:

Amazon SES will attempt to send email with Transport Layer Security enabled, but there is not a way to guarantee messages are sent with TLS. SES uses opportunistic TLS when sending emails, which means it will attempt to send emails over TLS first, and then will fall back to regular SMTP if TLS is unavailable.

Note that the AWS note at https://forums.aws.amazon.com/message.j ... eID=218303 refers to encrypting server-to-server communication to maintain confidentiality of the email message, is a shared characteristic of all SMTP services. This question relates to using a secure connection to the AWS SMTP server to protect the passwords used to authenticate with the AWS server.

Am 18.April 2014 gab's in einem Thread eine Bekanntmachung seitens Amazon (soweit ich das richtig verstanden habe), da hieß es:

Hello,

I would like to provide an update on the topic of Transport Layer Security (TLS) in email sent by Amazon SES.

Amazon SES now supports opportunistic TLS, which means that it sends all messages over a TLS-protected connection by default. When SES establishes an SMTP connection with a receiving mail server, SES upgrades the connection using the STARTTLS protocol if the receiving mail server supports TLS. If the receiving server does not advertise STARTTLS or if TLS negotiation fails, the connection proceeds in plaintext.

This feature is active in all regions and you don’t need to take any action to enable it. As a result, the majority of messages sent by SES are already protected by TLS.

In the future we will consider offering additional TLS controls, such as the ability to enable mandatory TLS, or pin the expected certificate for a receiving domain name. Please let us know what features are important to you in this space -- your input is crucial to us in prioritizing future work.

Hmmm...