Je schreef eerder dat je uitgaande mailserver alleen TLS ondersteunt op poort 465. Welke TLS versies ondersteunt je mail sofware? Als je dit niet weet, kijk dan in de headers van een oude e-mail van jezelf: een mail van jezelf aan jezelf, of een andere email van jezelf waar je toegang toe hebt.
Bijvoorbeeld:
Received: from xxx-xx-xxx-xxx.ftth.glasoperator.nl ([xxx.xxx.xx.xxx] helo=xxxxx) by mail.xxxxxxx.nl with esmtps (TLS1.3) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
Bij mij dus TLS1.3. De TLS versie die je vindt, is de hoogste versie die jouw software ondersteunt. Zorg wel dat je de goeie regel te pakken hebt: dus van thuis naar je uitgaande mailserver.
Welke mail software gaat het trouwens precies om (naam + versie)? En welke Windows versie?
Nog iets heel anders: er is niet toevallig een firewall op je eigen pc die connecties naar TCP poort 465 van alleen je (oude) mail software blokkeert?
ik ben eruit
ik heb het opgelost
je was heel warm
wat ik denk wat er aan de hand was was denk ik dat ik zonder dat ik het wist nog over poort 25 verstuurde. ja. jaren geleden zo geconfigureerd en nooit meer naar omgekeken. Dat werkte gewoon omdat Tweak poort 25 open had en de mail gewoon afleverde bij H2G.
toen moest ik overstappen naar Odido. Odido mailde dat ze hetzelfde ‘unlimitied’ glas boden als Tweak. Dat bleek onjuist want poort 25 was niet alleen geblokkeerd (waar nog wat voor te zeggen valt) maar ook het doorsturen van mail naar poort 25 van een derde partij (H2G) lijken ze te blokkeren.
Als dat zo is (en alles wijst daarop) is dat een flagrante schending van de wet op netneutraliteit.
Dat zou verklaren waarom ik na mijn overstap geen mail meer kon versturen.
Na veel denken en testen ontdekte ik dus dat ik met office 365 wel encrypted mail kon versturen via poort 587 en/of 465.
toen ging ik het zoeken in de versies. na overleg met H2G bleek dat daar versie 1.3 in de backward compatible mode geïnstalleerd was. Dus dat kon het ook niet zijn.
toen kwam jij met het idee om een oude header van een mail aan mijzelf uit te pluizen. Die bleek unencrypted via poort 25 verstuurd. dus dat schoot ook niet op.maar ik voelde dat we warm waren
toen ben ik gaan zoeken welke versies SSL, TLS en STARTTLS office 2010 professional plus (mijn emailclient) ondersteunt. Toevallig stuitte ik daar op de de info dat die mailclient onder Windows 7 standaard geen TLS ondersteunt maar en dat daar registeraanpassingen voor nodig zijn om dat werkend te krijgen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
allebei DWORD value DefaultSecureProtocols A00 (hexadecimal)
en
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
allebei DWORD ‘DisabledByDefault’ Value ‘0’
toen ik die aanpassingen gedaan had kon ik met TLS mail over poort 587 van H2G vanuit het netwerk van Odido versturen
ja
het was een zoektocht en Odido lijkt hier een dubieuze rol in te hebben maar het werkt hier…
bedankt voor het meedenken nogmaals en alle goeds!!
het was een zoektocht en Odido lijkt hier een dubieuze rol in te hebben maar het werkt hier…
Mooi dat het nu werkt
Dus jij gebruikte bij je oude provider poort 25 onversleuteld, zonder dat je dat zelf in de gaten had.
Je eigen software/configuratie ondersteunde (tot nu toe) helemaal geen versleuteling met je hosting provider, zonder dat je dat zelf in de gaten had.
Je gebruikt Windows 7, een besturingssysteem dat sinds 2020 niet meer ondersteund wordt.
Wie zijn rol is hier nou dubieus, vraag ik me dan af? Maar dit forum is wat mij betreft bedoeld om elkaar te helpen en niet om elkaar te bekritiseren, dus ik zal die vraag maar onbeantwoord laten.
- De campagnemail van Odido waarin gesteld werd hetzelfde Unlimitied glas als Tweak te bieden bleek niet waar en was achteraf gezien pure misleiding (maar voor mij toen een reden om met Odido in zee te gaan)
- Het blokkeren van poort 25 werd niet actief gecommuniceerd als uitzondering op het ‘unlimited glas’ ( maar à la)
- Het blokkeren van mailverkeer naar port 25 van een externe mailserver is een grove schending van de wet op netneutraliteit
- De klantenservice voor nieuwe klanten die na overstap geen mail meer konden versturen was twee weken lang volledig onbereikbaar
- De chatbot is zeer, zeer slecht geprogrammeerd. Het ding lijkt een grote doch zeer misplaatste grap
- Adviseurs van de afdeling Service van Odido hebben ook maar niet de geringste ict-kennis
- De schreeuwerige credo’s op de website ‘vragen? We zijn er voor je!’ worden op geen enkele maar dan ook op geen enkele manier waargemaakt
- De Zyxel die je krijgt bij je bestelling blijkt een volledig uitgeklede eigen versie van software van Odido op te staan waardoor er geen enkele (beveiligings)instelling meer mogelijk is. Dit wordt verzwegen bij het afsluiten van het abonnement. Als je je netwerk beveiligd wil houden of poorten moet forwarden (standaardfunctionaliteit van zelfs de simpelste router..) krijg je extra kosten voor een eigen router/firewall
- Na 52 posts in drie dagen over ernstige mailproblemen heeft zich nog geen enkele technicus van Odido in het gesprek gemeld
- Het systeem waar ik de mailproblemen mee had betreft een thuiswerkplek die niet naar windows 10 of hoger kan omdat dan noodzakelijke hard- en software niet meer werkt. ik zal daar de enige niet mee zijn.
- Dat ik op poort 25 zat kan ik nu terughalen omdat ik eerder idd ook vastgelopen was op TLS wat ik niet aan de praat kreeg, toen de boel maar op port 25 gezet en door drukte dat toen vergeten was of gewoon afwachtend geweest tot zich een oplossing aan zou dienen. Ja. Je kan het dubieus noemen maar dat is dan 100% mijn eigen keus en verantwoordelijkheid en op geen enkele manier een excuus voor het gedrag van Odido
het was een zoektocht en Odido lijkt hier een dubieuze rol in te hebben maar het werkt hier…
oeps
weeer verkeerde knop
na ik zal er dan nog een positief puntje tegenover zetten, de afdeling facturatie functioneert prima. chapeau!
Echt serieus? Iemand die nog op windows 7 draait met een office versie die ook al jaren niet meer voorzien wordt van beveiligingsupdate én over een onbeveiligde poort unecrypted mail verstuurd zegt dat er beveiligingsinstellingen in de router missen?
Portforwarding gaat prima in de zyxel dus waar heb je het over?
Poort 25 blokkeren heeft niets, maar dan ook echt helemaal niets, met netneutraliteit te maken maar met veiligheid. Geen enkele professionele gebruiker zal deze poort meer gebruiken dus het is heel goed dat iets onbenulligs uit de jaren 90 geblokkeerd is.
Dat niemand van odido je helpt met je eigen mailserver bij een discutabele hoster die compleet onveilig is over al jaren niet meer ondersteunde software en protocollen vind ik niet iets wat je odidio kunt aanrekenen. Er zijn zat dingen die je de provider wel kunt aanrekenen maar dit is er zeker geen eentje van.
Een thuiswerkplek die niet geupgrade kan worden is ook wel zorgelijk, met alle respect maar dat kun je niet serieus meer nemen. Zo'n apparaat zou uberhaupt niet meer aan een netwerk horen hangen.
@Jaapje78
Poort 25 blokkeren heeft niets, maar dan ook echt helemaal niets, met netneutraliteit te maken maar met veiligheid. Geen enkele professionele gebruiker zal deze poort meer gebruiken dus het is heel goed dat iets onbenulligs uit de jaren 90 geblokkeerd is.
Poort 25 is vandaag de dag nog steeds de standaard poort waarop uitgaande mailservers de mail afleveren bij ontvangende mailservers (en dat kan ook versleuteld met STARTTLS).
Het is daarom onmogelijk een uitgaande mailserver te draaien op een thuisverbinding als poort 25 geblokkeerd is, tenzij een smarthost gebruikt wordt.
Je kunt het er wel/niet mee eens zijn dat mensen geen uitgaande mailserver (zonder smarthost) kunnen draaien via hun thuisverbinding, maar het is naar mijn mening wel een feit dat dit een daadwerkelijke beperking is.
Het is wel zo dat dit punt nogal theoretisch is, omdat het vanwege andere redenen, ook met poort 25 open, het praktisch gezien heel moeilijk is om (direct zonder smarthost) mail afgeleverd te krijgen bij een ontvangende mailserver vanaf een thuisverbinding. Dat komt door (policy) DNS blacklists, geen reverse DNS (of van de verkeerde soort), en dat soort zaken.
P.S. Grappig feit is trouwens dat bij mij poort 25 wel open staat bij Odido (in + uit). Waarom weet ik niet.
Klopt dat je over 25 ook wel beveiligde verbindingen kunt opzetten. Je zou over poort 80 ook wel een beveiligde verbinding op kunnen zetten naar een mailserver, een poort is immers niets meer dan een configuratie.
Het is alleen niet de bedoeling én niet volgens de afspraken die we met zijn allen hebben gemaakt. Poort 25 is voor onbeveiligde smtp verbindingen en mail relay tussen mailservers (server naar server) en wordt gelukkig steeds meer geblokkeerd op consumentenlijnen. Het is daarmee een beveiliging beperking en dus volledig terecht dat dit geblokkeerd wordt. Er is namelijk geen enkele reden om niet de standaard poorten te gebruiken voor beveiligde verbindingen. Dus stellen dat poort 25 de standaard is… dat was in de jaren 90 zo.
Je zet toch ook geen http ssl verbinding op poort 80 op? Dat doe je over 443.
Zakelijk je mail versturen over een onbeveiligde verbinding is in mijn optie echt absurd maar goed.
Odido is een provider voor consumenten, een normale consument heeft geen mailserver draaien. In casu heeft de gebruiker ook geen mailserver draaien maar babbelt over een poort die je niet moet gebruiken richting een mailserver met een verouderde client. Ergo: Compleet terecht dat dit dicht staat.
Zakelijk gezien wil je ook een vast ip-adres omdat je geen risico wil lopen dat je je dns regelmatig moet updaten wanneer het adres weer eens gewijzigd is, dat is ook iets wat odido niet biedt, het is immers een consumentenprovider ook zonder uptime garanties.
Voor een dubbeltje op de eerste rij willen zitten noemen we dat ook wel.
@Jaapje78
Poort 25 is voor onbeveiligde smtp verbindingen en mail relay tussen mailservers (server naar server)
Klopt. En voor dat verkeer tussen mailservers is poort 25 dus nog steeds in gebruik (gelukkig wel bijna altijd versleuteld via STARTTLS). Het blijkt vaak dat mensen dit niet goed begrijpen (jij misschien wel), dus ik zal het zo goed mogelijk proberen uit te leggen.
Kijk maar eens met me mee. Neem een willekeurig domein, bijvoorbeeld odido.nl.
harmenzo@odido:~$ host odido.nl
odido.nl has address 20.56.240.229
odido.nl mail is handled by 0 odido-nl.mail.protection.outlook.com.
De mail voor dit domein moet dus naar odido-nl.mail.protection.outlook.com. Kijk nu welke poorten open staan op deze host.
harmenzo@odido:~$ telnet odido-nl.mail.protection.outlook.com 25
Trying 52.101.68.32...
Connected to odido-nl.mail.protection.outlook.com.
Escape character is '^]'.
220 DU6PEPF0000B620.mail.protection.outlook.com Microsoft ESMTP MAIL Service ready at Thu, 21 Mar 2024 12:13:25 +0000
quit
221 2.0.0 Service closing transmission channel
Connection closed by foreign host.
Poort 25 werkt dus. Nu poort 587…
harmenzo@odido:~$ telnet odido-nl.mail.protection.outlook.com 587
Trying 52.101.68.32...
Connection failed: Connection timed out
Dat werkt dus niet. Geldt ook voor poort 465. En dat is met alle domeinen zo. De mail kan dus alleen op de eindbestemming afgeleverd worden via poort 25. En dat kan vanaf een Odido thuisverbinding dus niet.
Zoals ik al schreef, je kunt het daar wel/niet mee eens zijn. Ik zelf heb jaren een uitgaande mailserver gehad via mijn thuisverbinding bij xs4all, dus het zal niemand verbazen als ik het er persoonlijk niet mee eens ben. Toegegeven dat ik dan eigenlijk beter naar Freedom had kunnen gaan.
Poort 25 blokkeren heeft niets, maar dan ook echt helemaal niets, met netneutraliteit te maken
ik stel dat helemaal nergens en dat vind ik ook helemaal niet ik stel dat het filteren van netwerkverkeer naar een externe serverpoort 25 (wat odido lijkt te doen) een flagrante schending van de wet op netwerkneutraliteit is
lezen is natuurlijk ook een competentie
windows 7 draaien is niet ideaal maar het is niet anders. Dat zijn jouw zaken helemaal niet. Het is zeker geen reden waarom ik geen kritiek zou mogen hebben op uitgeklede routers/firewalloftware zonder dat dat bij het afsluiten van een abonnement vermeld wordt.
een discutabele hoster die compleet onveilig is over al jaren niet meer ondersteunde software en protocollen
Bij Hosting2go werken zeer capabele mensen die in hart en nieren ict-er zijn en poort 25 volstrekt veilig geconfigureerd hebben staan. Dat kan dus wel ja.
je hebt geen idee waar je het over hebt en praat zelfs laster. Hosting2go steekt met kop en schouders boven het maaiveld uit wat ict-kennis en hosting betreft.
Bij Hosting2go werken zeer capabele mensen die in hart en nieren ict-er zijn en poort 25 volstrekt veilig geconfigureerd hebben staan. Dat kan dus wel ja.
Volstrekt veilig? Maar toch niet idiot-proof. No pun intended.
Het kan wel, voor server naar server ja, waar het voor bedoeld is.
Zijn we het er over eens dat windows 7 met outlook 2010 in de verste verte niet als server gezien kan worden? Oftwel een hosting provider die mail van een externe client op poort 25 accepteert…
Vervolgens een connectie opzetten naar een relay waar je als client niets te zoeken hebt dat zegt natuurlijk niet zoveel, ook niet dat die de client poorten dicht hebben staan. Daar zijn ze immers niet voor bedoeld en daar zou je als gewone gebruiker ook nooit mail op af moeten kunnen leveren.
Een mail relay is een beetje de groothandel, daar kom je als particulier ook niet op binnen.
@AlbertJan Ja het klopt, het gaat me niet aan en boeit ook niet dat je volstrekt onveilige spullen gebruikt en dan doet alsof dat super belangrijk voor je bedrijf is maar mag er wel een mening over hebben. Ook dat je een consumentenlijn aanschaft en vervolgens met netneutraliteit schermt waar je overigens prima bepaalde zaken mag dichtzetten is wel een tikje bijzonder.
Als ik de reviews over die hoster bekijk dan lijken een hoop mensen een andere mening te hebben. Sowieso zouden ze verkeer vanaf een niet server op 25 moeten blokkeren, daar is het immers niet voor. Overigens wel bijzonder dat als ze zo capabel zijn dat je een consumentenforum nodig hebt om de juiste oplossing te krijgen en geen draai om je oren van ze hebt gehad omdat je een server-server connectie gebruikt.
Enfin: Het werkt en ik help je hopen dat je het wel een beetje veilig hebt ingericht. Oude windows en office versies aan het grote boze internet hangen is niet heel handig.
@Jaapje78
Vervolgens een connectie opzetten naar een relay waar je als client niets te zoeken hebt dat zegt natuurlijk niet zoveel, ook niet dat die de client poorten dicht hebben staan. Daar zijn ze immers niet voor bedoeld en daar zou je als gewone gebruiker ook nooit mail op af moeten kunnen leveren.
Een mail relay is een beetje de groothandel, daar kom je als particulier ook niet op binnen.
Ik denk dat we van mening verschillen over de vraag of een particuliere gebruiker thuis ook een mailserver zou moeten kunnen draaien als hij/zij dat wil. Persoonlijk vind ik van wel. (Waarbij ik trouwens voor een ander standpunt op zich ook best begrip op kan brengen.)
- De Zyxel die je krijgt bij je bestelling blijkt een volledig uitgeklede eigen versie van software van Odido op te staan waardoor er geen enkele (beveiligings)instelling meer mogelijk is. Dit wordt verzwegen bij het afsluiten van het abonnement. Als je je netwerk beveiligd wil houden of poorten moet forwarden (standaardfunctionaliteit van zelfs de simpelste router..) krijg je extra kosten voor een eigen router/firewall
correctie de firmware/software lijkt toch fabrieksorigineel. ik had die info van een andere klant ik had dat zelf moeten checken voor ik het neerpende ja tijdgebrek en emotie