nieuwe klant kan geen mail meer versturen

Received: from xxx-xx-xxx-xxx.ftth.glasoperator.nl ([xxx.xxx.xx.xxx] helo=xxxxx) by mail.xxxxxxx.nl with esmtps  (TLS1.3) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

ik ben eruit

ik heb het opgelost 

je was heel warm 

wat ik denk wat er aan de hand was was denk ik dat ik zonder dat ik het wist nog over poort 25 verstuurde. ja. jaren geleden zo geconfigureerd en nooit meer naar omgekeken. Dat werkte gewoon omdat Tweak poort 25 open had en de mail gewoon afleverde bij H2G. 

toen moest ik overstappen naar Odido. Odido mailde dat ze hetzelfde ‘unlimitied’ glas boden als Tweak. Dat bleek onjuist want poort 25 was niet alleen geblokkeerd (waar nog wat voor te zeggen valt) maar ook het doorsturen van mail naar poort 25 van een derde partij (H2G) lijken ze te blokkeren.

Als dat zo is (en alles wijst daarop) is dat een flagrante schending van de wet op netneutraliteit.

Dat zou verklaren waarom ik na mijn overstap geen mail meer kon versturen.

Na veel denken en testen ontdekte ik dus dat ik met office 365 wel encrypted mail kon versturen via poort 587 en/of 465.

toen ging ik het zoeken in de versies. na overleg met H2G bleek dat daar versie 1.3 in de backward compatible mode geïnstalleerd was. Dus dat kon het ook niet zijn.

toen kwam jij met het idee om een oude header van een mail aan mijzelf uit te pluizen. Die bleek unencrypted via poort 25 verstuurd. dus dat schoot ook niet op.maar ik voelde dat we warm waren 

toen ben ik gaan zoeken welke versies SSL, TLS en STARTTLS office 2010 professional plus (mijn emailclient) ondersteunt. Toevallig stuitte ik daar op de de info dat die mailclient onder Windows 7 standaard geen TLS ondersteunt maar en dat daar registeraanpassingen voor nodig zijn om dat werkend te krijgen: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

allebei DWORD value DefaultSecureProtocols A00 (hexadecimal)

en 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

allebei DWORD ‘DisabledByDefault’ Value ‘0’

toen ik die aanpassingen gedaan had kon ik met TLS mail over poort 587 van H2G vanuit het netwerk van Odido versturen 

ja 

het was een zoektocht en Odido lijkt hier een dubieuze rol in te hebben maar het werkt hier…

bedankt voor het meedenken nogmaals en alle goeds!!

• De campagnemail van Odido waarin gesteld werd hetzelfde Unlimitied glas als Tweak te bieden  bleek niet waar en was achteraf gezien pure misleiding (maar voor mij toen een reden om met Odido in zee te gaan)

• Het blokkeren van poort 25 werd niet actief gecommuniceerd als uitzondering op het ‘unlimited glas’ ( maar à la)

• Het blokkeren van mailverkeer naar port 25 van een externe mailserver is een grove schending van de wet op netneutraliteit

• De klantenservice voor nieuwe klanten die na overstap geen mail meer konden versturen was twee weken lang volledig onbereikbaar

• De chatbot is zeer, zeer slecht geprogrammeerd. Het ding lijkt een grote doch zeer misplaatste grap

• Adviseurs van de afdeling Service van Odido hebben ook maar niet de geringste ict-kennis

• De schreeuwerige credo’s op de website ‘vragen? We zijn er voor je!’ worden op geen enkele maar dan ook op geen enkele manier waargemaakt

• De Zyxel die je krijgt bij je bestelling blijkt een volledig uitgeklede eigen versie van software van Odido op te staan waardoor er geen enkele (beveiligings)instelling meer mogelijk is. Dit wordt verzwegen bij het afsluiten van het abonnement. Als je je netwerk beveiligd wil houden of poorten moet forwarden (standaardfunctionaliteit van zelfs de simpelste router..) krijg je extra kosten voor een eigen router/firewall

• Na 52 posts in drie dagen over ernstige mailproblemen heeft zich nog geen enkele technicus van Odido in het gesprek gemeld

• Het systeem waar ik de mailproblemen mee had betreft een thuiswerkplek die niet naar windows 10 of hoger kan omdat dan noodzakelijke hard- en software niet meer werkt. ik zal daar de enige niet mee zijn.

• Dat ik op poort 25 zat kan ik nu terughalen omdat ik eerder idd ook vastgelopen was op TLS wat ik niet aan de praat kreeg, toen de boel maar op port 25 gezet en door drukte dat toen vergeten was of gewoon afwachtend geweest tot zich een oplossing aan zou dienen. Ja. Je kan het dubieus noemen maar dat is dan 100% mijn eigen keus en verantwoordelijkheid en op geen enkele manier een excuus voor het gedrag van Odido

na ik zal er dan nog een positief puntje tegenover zetten, de afdeling facturatie functioneert prima. chapeau!

@Jaapje78

Poort 25 blokkeren heeft niets, maar dan ook echt helemaal niets, met netneutraliteit te maken maar met veiligheid. Geen enkele professionele gebruiker zal deze poort meer gebruiken dus het is heel goed dat iets onbenulligs uit de jaren 90 geblokkeerd is.

Poort 25 is vandaag de dag nog steeds de standaard poort waarop uitgaande mailservers de mail afleveren bij ontvangende mailservers (en dat kan ook versleuteld met STARTTLS).

Het is daarom onmogelijk een uitgaande mailserver te draaien op een thuisverbinding als poort 25 geblokkeerd is, tenzij een smarthost gebruikt wordt.

Je kunt het er wel/niet mee eens zijn dat mensen geen uitgaande mailserver (zonder smarthost) kunnen draaien via hun thuisverbinding, maar het is naar mijn mening wel een feit dat dit een daadwerkelijke beperking is.

Het is wel zo dat dit punt nogal theoretisch is, omdat het vanwege andere redenen, ook met poort 25 open, het praktisch gezien heel moeilijk is om (direct zonder smarthost) mail afgeleverd te krijgen bij een ontvangende mailserver vanaf een thuisverbinding. Dat komt door (policy) DNS blacklists, geen reverse DNS (of van de verkeerde soort), en dat soort zaken.

P.S. Grappig feit is trouwens dat bij mij poort 25 wel open staat bij Odido (in + uit). Waarom weet ik niet.

@Jaapje78

Poort 25 is voor onbeveiligde smtp verbindingen en mail relay tussen mailservers (server naar server)

Klopt. En voor dat verkeer tussen mailservers is poort 25 dus nog steeds in gebruik (gelukkig wel bijna altijd versleuteld via STARTTLS). Het blijkt vaak dat mensen dit niet goed begrijpen (jij misschien wel), dus ik zal het zo goed mogelijk proberen uit te leggen.

Kijk maar eens met me mee. Neem een willekeurig domein, bijvoorbeeld odido.nl.

harmenzo@odido:~$ host odido.nl
odido.nl has address 20.56.240.229
odido.nl mail is handled by 0 odido-nl.mail.protection.outlook.com.

De mail voor dit domein moet dus naar odido-nl.mail.protection.outlook.com. Kijk nu welke poorten open staan op deze host.

harmenzo@odido:~$ telnet odido-nl.mail.protection.outlook.com 25
Trying 52.101.68.32...
Connected to odido-nl.mail.protection.outlook.com.
Escape character is '^]'.
220 DU6PEPF0000B620.mail.protection.outlook.com Microsoft ESMTP MAIL Service ready at Thu, 21 Mar 2024 12:13:25 +0000
quit
221 2.0.0 Service closing transmission channel
Connection closed by foreign host.

Poort 25 werkt dus. Nu poort 587…

harmenzo@odido:~$ telnet odido-nl.mail.protection.outlook.com 587
Trying 52.101.68.32...
Connection failed: Connection timed out

Dat werkt dus niet. Geldt ook voor poort 465. En dat is met alle domeinen zo. De mail kan dus alleen op de eindbestemming afgeleverd worden via poort 25. En dat kan vanaf een Odido thuisverbinding dus niet.

Zoals ik al schreef, je kunt het daar wel/niet mee eens zijn. Ik zelf heb jaren een uitgaande mailserver gehad via mijn thuisverbinding bij xs4all, dus het zal niemand verbazen als ik het er persoonlijk niet mee eens ben. Toegegeven dat ik dan eigenlijk beter naar Freedom had kunnen gaan.

Het kan wel, voor server naar server ja, waar het voor bedoeld is.

Zijn we het er over eens dat windows 7 met outlook 2010 in de verste verte niet als server gezien kan worden? Oftwel een hosting provider die mail van een externe client op poort 25 accepteert… 

Vervolgens een connectie opzetten naar een relay waar je als client niets te zoeken hebt dat zegt natuurlijk niet zoveel, ook niet dat die de client poorten dicht hebben staan. Daar zijn ze immers niet voor bedoeld en daar zou je als gewone gebruiker ook nooit mail op af moeten kunnen leveren.

Een mail relay is een beetje de groothandel, daar kom je als particulier ook niet op binnen.

@AlbertJan Ja het klopt, het gaat me niet aan en boeit ook niet dat je volstrekt onveilige spullen gebruikt en dan doet alsof dat super belangrijk voor je bedrijf is maar mag er wel een mening over hebben. Ook dat je een consumentenlijn aanschaft en vervolgens met netneutraliteit schermt waar je overigens prima bepaalde zaken mag dichtzetten is wel een tikje bijzonder.
Als ik de reviews over die hoster bekijk dan lijken een hoop mensen een andere mening te hebben. Sowieso zouden ze verkeer vanaf een niet server op 25 moeten blokkeren, daar is het immers niet voor. Overigens wel bijzonder dat als ze zo capabel zijn dat je een consumentenforum nodig hebt om de juiste oplossing te krijgen en geen draai om je oren van ze hebt gehad omdat je een server-server connectie gebruikt.

Enfin: Het werkt en ik help je hopen dat je het wel een beetje veilig hebt ingericht. Oude windows en office versies aan het grote boze internet hangen is niet heel handig.

correctie de firmware/software lijkt toch fabrieksorigineel. ik had die info van een andere klant ik had dat zelf moeten checken voor ik het neerpende ja tijdgebrek en emotie