Oplossen van TLS-onderhandelingsfouten voor e-mails
Om de TLS-onderhandelingsfout op te lossen bij het versturen van e-mails, vooral bij gebruik van een externe DNS-service die DNS-records herschrijft en SSL proxyt naar de mailserver, volg deze stappen:
1. Identificeer de juiste mailserver hostnaam
Localiseer de hostnaam van uw mailserver in de welkomstmail van uw gedeelde hostingpakket. Het zal eruitzien als shared1.gnt.faastic.com
.
2. Toegang tot Cloudflare DNS-instellingen
Log in op uw Cloudflare of DNS-provider account en navigeer naar het DNS-instellingen gedeelte.
3. Werk het MX-record bij
Vind het MX-record voor uw domein en werk dit bij naar de juiste mailserver hostnaam geïdentificeerd in stap 1.
4. Cloudflare Proxy uitschakelen (Optioneel)
Als DNS-records gerelateerd aan e-mail via Cloudflare geproxyd worden, wijzig dan hun status naar alleen DNS door te klikken op het wolkicoon naast het record.
5. Wijzigingen opslaan
Sla uw DNS-instellingen op. Wijzigingen kunnen tot 24 uur duren om te verspreiden.
6. Configuratie verifiëren
Na instelling van de DNS, test het versturen van e-mails om te zorgen dat de TLS-onderhandelingsfout is opgelost.
Door het MX-record bij te werken om direct naar de hostnaam van uw mailserver te wijzen en te zorgen dat DNS-records gerelateerd aan e-mailservices correct zijn geconfigureerd, kunt u problemen met het verzenden van e-mails veroorzaakt door TLS-onderhandelingsfouten oplossen.
Bovenstaande is een fout voor de error
TLS Negotiation failed: FAILED_PRECONDITION: starttls error (71): 8442728243200:error:10000417:SSL routines:OPENSSL_internal:SSLV3_ALERT_ILLEGAL_PARAMETER:third_party/openssl/boringssl/src/ssl/tls_record.cc:592:SSL alert number 47
Het optreden van TLS-onderhandelingsfouten, zoals de "FAILED_PRECONDITION: starttls-fout (71)" bij het versturen van e-mails van Gmail naar een mailbox, vooral in de context van het gebruik van Cloudflare in plaats van een directe DNS-server, kan worden toegeschreven aan verschillende sleutelfactoren gerelateerd aan hoe Cloudflare interageert met e-mailverkeer en DNS-configuraties. Het begrijpen van deze factoren vereist een waardering van de technische onderscheidingen tussen Cloudflare's diensten en traditionele DNS-serverfunctionaliteiten.
Cloudflare is primair ontworpen om de beveiliging en prestaties van websites te verbeteren door middel van een breed spectrum aan diensten, inclusief DDoS-bescherming, webapplicatie-firewalls en mogelijkheden van een content delivery network (CDN). Een van de kenmerkende eigenschappen van Cloudflare is het vermogen om als een omgekeerde proxy te fungeren, gelegen tussen de bezoekers van een website en de hostingserver. Deze opstelling stelt Cloudflare in staat om inkomend verkeer voor webverzoeken te filteren en te beheren, waardoor beveiliging en prestatieverbeteringen worden geboden. Deze proxydienst is echter afgestemd op HTTP/HTTPS-verkeer en ondersteunt niet de SMTP, IMAP of POP3 protocollen die worden gebruikt voor het verzenden en ontvangen van e-mails.
Wanneer Cloudflare wordt gebruikt om DNS-instellingen voor een domein te beheren, kunnen DNS-records zoals A, AAAA en CNAME worden geproxied om Cloudflare's beveiligings- en CDN-diensten te benutten. MX (Mail Exchange)-records, die e-mailverkeer leiden, kunnen echter niet op dezelfde manier door Cloudflare worden geproxied. MX-records moeten direct wijzen naar een IP-adres van de mailserver of een hostnaam die oplost naar een IP-adres dat niet door Cloudflare wordt geproxied. Hier wordt het onderscheid cruciaal: als Cloudflare is ingesteld om al het verkeer te proxyen, inclusief dat bestemd voor de mailserver door een misconfiguratie, kan dit de e-mailbezorging verstoren omdat Cloudflare het e-mailprotocolverkeer niet zoals verwacht zal afhandelen.
Bovendien kunnen Cloudflare's SSL/TLS-versleutelingsdiensten, die deel uitmaken van zijn beveiligingsaanbiedingen, de e-mailbezorging compliceren indien niet correct geconfigureerd. Cloudflare biedt SSL/TLS-versleuteling voor webverkeer, maar e-maildiensten vertrouwen op hun eigen versleutelingsprotocollen zoals STARTTLS. Als er een misconfiguratie is in hoe SSL/TLS-certificaten worden toegepast, of als er een poging is om e-mailverkeer door Cloudflare te proxyen, kan dit leiden tot fouten in TLS-onderhandeling. Dit gebeurt omdat de verwachtingen van versleuteling tussen de verzendende en ontvangende servers niet overeenkomen, waardoor de e-mailserver de verbinding afwijst vanwege waargenomen beveiligingsrisico's, zoals het verkeerde type versleuteling dat wordt toegepast of onjuiste certificaatvalidatie.
In tegenstelling tot het gebruik van een dedicated DNS-server voor e-mailconfiguraties, vermijdt dit complicaties. Een DNS-server die de DNS-records van het domein direct beheert zonder als proxy voor verkeer te fungeren, maakt precieze controle over MX-records en directe, ongewijzigde routering van e-mailverkeer mogelijk. Dit directe beheer elimineert het risico van misconfiguratie gerelateerd aan proxy- en versleutelingsdiensten die niet geschikt zijn voor e-mailprotocollen, waardoor wordt gegarandeerd dat e-mails worden verzonden en ontvangen zonder tussenkomst van beveiligings- en prestatie-lagen die niet ontworpen zijn voor e-mailverkeer.
Samengevat, hoewel Cloudflare aanzienlijke voordelen biedt voor het beheren van webverkeer, kan zijn architectuur en dienstenaanbod onbedoeld complexiteit en uitdagingen introduceren voor de e-mailbezorging. Het begrijpen en correct configureren van DNS- en MX-records, terwijl ervoor wordt gezorgd dat e-mailverkeer op de juiste manier wordt gerouteerd buiten Cloudflare's proxy- en versleutelingsdiensten, is essentieel om TLS-onderhandelingsfouten te voorkomen en betrouwbare e-mailcommunicatie te waarborgen.
Meer informatie hierover kan gevonden worden op: https://developers.cloudflare.com/dns/troubleshooting/email-issues/ .