Dazu gibt es hier bereits einen Beitrag:

Plötzlicher Fehler Upload Mail - DATEV-Community - 506934

Dankeschön für den Hinweis!

Problem: wir nutzen nicht "StartTLS".

Unsere Server senden komplett verschlüsselt.

Ich kann kein Problem erkennen. TLS ist auch eine Verschlüsselung und DATEV wird mit 99,9% Sicherheit mit keinem Server sprechen, der keine Transportverschlüsselung aufbauen will. 

Da habe ich mich nicht genau ausgedrückt:

Die vorgeschlagene Verlinkung zu dem anderen Thema bezieht sich auf die Nutzung von TLS. Da passt die Lösung nicht zum Problem. 

GIbt es sonst noch Ideen oder Vorschläge???

Wir können hier seitens der IT leider nicht wirklich was machen.

...und das Problem nervt!

Sehr geehrte Frau Floerke,

>> Da passt die Lösung nicht zum Problem. 

Klar. Ist 1:1 die gleiche Meldung des DATEV E-Mails Servers: Eine Kommunikation muss mit StartTLS anfangen.  

>> Wir können hier seitens der IT leider nicht wirklich was machen.

Das ist schade. Das ist leider die Zukunft. Ohne gute IT, die angepasst, gewartet und beobachtet wird und ohne KnowHow, IT Probleme zu lösen bzw. ohne guten IT-Partner in der Hand, ist man heute hoffnungslos verloren. Dann geht man besser zu Papier zurück. Das ist geduldig und hat auch selten Widerworte. 

Also kurz: Wenn Sie nichts machen können, müssen Sie mit dem Problem leben. 

viele Grüße

---

@anja_floerke  schrieb:

GIbt es sonst noch Ideen oder Vorschläge???

Wir können hier seitens der IT leider nicht wirklich was machen.

...und das Problem nervt!

---

Ich "hoffe", Sie meinen damit Sie und/oder Ihr Büro selbst, oder?

Haben Sie keinen DATEV-Systempartner (oder wie das heute heißt), der Sie dabei unterstützen kann?

Ansonsten wird das echt schwierig.

Sehr geehrter Herr mjsapxrwswxöa,

es ist doch immer wieder schön, wenn man ITler Bashing betreiben kann, ohne überhaupt das Problem verstanden zu haben. Der ITler ist schließlich immer nervig, überbezahlt und hat keine Ahnung. Aber die künstliche Intelligenz kann's ja eh besser, aber davon ab.

Es geht nicht darum, dass Frau Flörke keinen guten IT-Support hat, sondern darum, dass von Seiten der IT das Problem nicht lösbar ist.

1. Die Kundenserver senden bereits seit Jahren nur noch verschlüsselt. Ein StartTLS ist somit unsinnig, wenn überhaupt keine unverschlüsselte Kommunikation/Versendung möglich ist.

2. Bis gestern hat in der existierenden Konstellation alles funktioniert, was es seit gestern -offenbar bei mehreren Datev Benutzern- nicht mehr tut. Die Fehlermeldung der Datev Server passt aber offenbar nicht wirklich zum Problem.

3. Wie lernt man so schön als ITler: "Jeder Störung geht eine Änderung voraus." Wenn auf Kunden-/Providerseite nichts geändert wurde, dann liegt die Ursache der Störung wo? Richtig: Offenbar bei der Datev. Ob das beabsichtigt oder unbeabsichtigt war, ist ja primär erstmal egal. Wenn es beabsichtigt war, hätte eine eventuelle Änderung ja mal angekündigt werden können. Hat man aber anscheinend nicht, so dass ich von einer unbeabsichtigten Änderung ausgehe.

Und jetzt wäre es mal schön, wenn die Datev nur noch schriftlich Support leisten möchte, dass man mal intern schaut, was da los ist, anstatt den Administratoren im Feld Unfähigkeit zu unterstellen.

Mit freundlichen Grüßen
ein ITler (seit 39 Jahren - also vielleicht nicht ganz so dumm und unerfahren, wie Sie das vermuten).

In diesem Fall geht es ja gar nicht direkt um ein Problem, bei dem der Datev Systempartner helfen kann/muss/sollte.

In den seltensten Fällen ist der Datev Systempartner der (Mail-)Admin des Kunden und/oder der Provider und es geht hier offenbar ausschließlich um ein Mail-Problem.

Viele Grüße.

---

@Larsi  schrieb:

In den seltensten Fällen ist der Datev Systempartner der (Mail-)Admin des Kunden und/oder der Provider und es geht hier offenbar ausschließlich um ein Mail-Problem.

 

Viele Grüße.

---

Dazu kann ich nur sagen, dass wir bei uns keinerlei Admin-Rechte haben und alles über den DATEV-Systempartner läuft und wir uns deshalb auch bei technischen Email-Problemen an den wenden.

Aber wenn Sie sagen, dass das in den seltensten Fällen ist, werden Sie das wohl besser wissen als ich. Ich weiß das nämlich nicht.

Viele Grüße

Hinter dem Link der Mailadresse ist ja nun (leider) ersichtlich, um welche Absenderdomain es geht.

Da wird scheinbar von N-Able Mail Assure genutzt und ein SPF, der auf den ersten Blick mal nicht zu Mail Assure passt. Schaut man sich den DMARC Record an kommt Brevo ins Spiel und dafür wäre scheinbar auch DKIM implementiert. 

Generell hätte ich hier - mit der Sicht von außen und ohne Zugriff auf irgendwelche SMTP Logs - zumindest Fragen. Das kann passen, muss aber nicht. Ohne Einsicht aber eher für mich von außen erstmal "wirr".

Vielleicht schaut ja der DATEV Postmaster (Informationen zu den Mailsystemen der DATEV / @Schulze_Andreas ) mal vorbei. Dann wäre zumindest jemand mit Einsicht in die SMTP Logs im Boot. Alternativ einen Service Kontakt aufmachen.

Hallo Jan!

Ich schließe mich Larsi an. DATEV ist Schuld. Ganz eindeutig. Simpel. 

viele Grüüüße

Hallo Jan,

richtig: Es wird n-able Mail Assure genutzt, aber nur für den Empfang. Der Versand läuft über Server, die korrekt in den jeweiligen Einträgen berechtigt sind.

Und Brevo hat mit dem Datev Problem überhaupt nichts zu tun. Das wird nur für den Newsletter-Versand genutzt.

Aber nochmal: Bis vorgestern hat alles in dieser Konstellation einwandfrei funktioniert und das ist ja mindestens einer von zwei Benutzern unterschiedlicher Datev Kunden, wo das auftritt.

Viele Grüße
Larsi

Herrlich, wenn man nichts versteht, aber unbedingt was schreiben will.

Manchmal hilft Lesen. Manchmal erfordert es aber auch Verstehen.

Aber was diskutiere ich überhaupt mit Ihnen. Sie wissen es offenbar eh besser.

Schönen Abend!

Dann wäre ich jetzt irritiert, warum der Newsletter Versender alle DMARC Reports erhält. Ein /23er Netz im SPF, "agenturserver.de" sowie die MXer, die nichts mit dem Versand zu tun haben sieht auch (von außen) eher nach "Viel hilft viel" aus.

Was sprechen denn die SMTP Logs?

Weil Brevo das so möchte. Da ist für Brevo nur das eingetragen, was die vorgegeben haben. Ich hab mich um die nicht gerissen. Die anderen Einträge haben ihre Bewandtnis, sind soweit korrekt und funktionieren. Das würde aber hier zu weit führen (nicht böse gemeint) und hat m. E. mit der ursprünglichen Fehlermeldung nichts zu tun.

In den Logs sind leider keine Einträge drin, außer der Meldung von oben. Auch ist nicht klar, wo dieses Fangen-Spielen der Mails her kommt, da sowohl auf dem Kundenmailserver als auch auf dem Relayhost die Spools leer sind.

Mittels temporärer Umstellung auf einen anderen Smarthost können wir nun erstmal wieder Belege ins DUO übermitteln.

Damit bleibt die Ursache zwar aktuell ungeklärt, aber der Kunde kann erstmal wieder arbeiten und nur das ist aktuell wichtig.

Danke für die Hilfe.

---

@Larsi  schrieb:

Weil Brevo das so möchte. Da ist für Brevo nur das eingetragen, was die vorgegeben haben.

---

Evtl. solltet Ihr euch damit auseinandersetzen, was Ihr da konfiguriert habt. Wo landen denn ALLE generierten DMARC Reports und wer hat Zugriff darauf? Brevo sieht mir jetzt grob überflogen nicht nach einem klassischen "DMARC Reporting Service" aus.

Hallo @anja_floerke, 

der Fehler tritt auf, wenn der Mailserver eine verschlüsselte Verbindung (TLS) erwartet, der Client (z. B. ein E-Mail-Programm oder ein Skript) jedoch unverschlüsselt verbindet. Über DATEV Upload Mail nehmen wir ausschließlich E-Mails mit Transportverschlüsselung (TLS) an. TLS muss daher in Ihrem Mailsystem aktiviert sein.

So beheben Sie das Problem:

• Prüfen Sie in den Einstellungen des E-Mail-Programms, ob TLS/STARTTLS aktiviert ist, und aktivieren Sie es ggf.

• Stellen Sie zudem sicher, dass die richtigen Servereinstellungen für den SMTP-Server verwendet werden, einschließlich des richtigen Ports für die verschlüsselte Verbindung (meistens Port 587 für STARTTLS oder Port 465 für SMTPS).

• Stellen Sie zudem sicher, dass die richtigen Servereinstellungen für den SMTP-Server verwendet werden, einschließlich des richtigen Ports für die verschlüsselte Verbindung (meistens Port 587 für STARTTLS oder Port 465 für SMTPS).

   

Hallo Lina,

vielen Dank für Ihre Antwort.

Ich möchte nochmal daran erinnern, dass es bis vergangene Woche in der bei Frau Flörke vorhandenen, unveränderten Konstellation funktioniert hat. Kunden- und Provider-seitig wurde nichts verändert.

Deshalb die Frage: Gab es bei der Datev irgendeine Änderung in diesem Bereich? Das kann doch nicht ohne jegliche Änderung von heute auf morgen nicht mehr funktionieren?!

Viele Grüße
Larsi

---

@Larsi  schrieb:

Das kann doch nicht ohne jegliche Änderung von heute auf morgen nicht mehr funktionieren?!

Das sehen Techniker vielleicht anders, aber als mehr als 30 Jahre langer reiner Anwender habe ich das nicht nur einmal erlebt. 😉

War der alte SmartHost evtl. TLS-seitig nicht ganz up to date?

Wenn man sich einmal das Ergebnis hier ansieht (TLS Test results for duo-mailin.datev.de, 193.27.49.232:25), ist es denkbar, dass DATEV an den "TLS Settings" nach oben gedreht hat und/oder zusätzlich, dass der alte SmartHost evtl. nichts passendes zum Aushandeln parat hatte.

Ich würde als Absender ja einfach in die Logfiles gucken (oder es einfach hinnehmen).

Hallo Herr Schulze,

>>>"DATEV ist schuld" -> dem ist in diesem speziellen Fall nichts hinzuzufügen ...

das habe ich so direkt weder gemeint noch geschrieben, sondern ich habe lediglich gefragt, ob es auf Datev Seite eine Änderung gab, da es auf Kunden-/Provider-Seite keine gab. 😉

Auf jeden Fall vielen herzlichen Dank für die ausführlichen Erklärungen. Damit kann es auch sein, dass die Smarthost-Änderung gestern Abend nicht dem anderen Server, sondern dem Rollback auf Datev-Seite geschuldet war.

Ich werde dann heute Abend wieder auf den ursprünglichen Smarthost-Server zurückschalten, aber dann sollte ja weiterhin alles funktionieren. Dann können wir aber auch konkreter nach der Ursache suchen, denn die SMTP-Logs gaben leider auch nichts brauchbareres her als in der Fehlermeldung drin stand (die dann ja auch nur sehr bedingt das eigentliche Problem wider gespiegelt hat). 

Nochmals vielen herzlichen Dank für die Erklärungen!

Viele Grüße
Larsi

Geholfen hätte bestimmt auch, wenn die Fehlermeldung nicht einfach

"530 5.7.0 Must issue a STARTTLS command first"

wäre, sondern genauer sagen könnte, dass eine bestimmte Verschlüsselungsmethode für eine Verbindung nicht zur Verfügung steht.

Sehr wahrscheinlich nicht DATEVs Baustelle, sondern eher beim Mailserver oder eingebundenen Bibliotheken zu suchen.

Dann hätte Anja/Anjas IT schneller drauf kommen können, wo das Problem liegt und bestimmt erkannt, dass der eigene Server auf eine inzwischen als schwach beurteilte Verschlüsselung setzt.

Stimmt, aber da hat man ja leider meist wenig Einfluss drauf, was die Mailserver antworten. 😉

Da gibt's leider auch einige Fälle bei den großen, üblichen Verdächtigen, wo man auch eher ne Glaskugel braucht... 😉

das ist ein guter Punkt! sprechende Fehlermeldungen helfen...

Ich habe mir das mal auf unsere Postmaster-TODO-Liste gesetzt. Ob und wann wir das anschauen ist offen, aber wenn es ein Ergebnis gibt, werde ich's hier kund tun.

Hallo Herr Schulze,

herzlichen Dank an dieser Stelle auch von mir! Vielen Dank für Ihre Bemühungen und die ausführliche Schilderung!

Es ist manchmal viel wichtiger, ernstgenommen zu werden, als einen Schuldigen zu identifizieren!

Ich bin daher froh, dass das Problem nun gelöst wurde!

Sehr geeherter Herr Andreas,

wow! Sie sammeln sehr viele Symapthie Punkte! Wundervoll! Gerne weiter so! Ich bin stark beeindruckt! Vielen, lieben Dank! 

ganz liebe Grüße nach Nürnberg 

Hallo Herr Schulze, 

auch wenn ich von diesem Problem nicht betroffen war, möchte ich hier einmal Danke sagen - für diese außergewöhnlich detaillierte und zielführende Antwort welche keine weiteren offenen Fragen hinterlässt! 

Wenn eine solche kompetente Erörterung und Fehlerbehebung Standard wäre, würde man sich sicher viel Frustration sparen und mehr Vertrauen in das ganze Konstrukt haben.