Fehler beim Versenden mit KIM

Question

Was bedeutet der Fehler:

Email konnte nicht gesendet werden - Fehler 451

Comments

Auch bei uns das gleiche Problem. - Hotline informiert. Sind gespannt...

---

Auch bei mir taucht bei jedem Versuch eine Nachricht über KIm zu versenden diese Nachricht auf. Bisher wusste noch niemand Rat....

Answer 1

Sehr geehrter Herr Graf,

https://www.heise.de/newsticker/meldung/Neuer-Status-Code-451-zeigt-Zensur-an-3052138.html

Wir hatten das bisher einige male konnten aber den Grund noch nicht ganz rausfinden. Meine Vermutung ist eine Firewall die was blockt oder überprüft und fann meckert eine der vielen verschachtelten KIM-Komponenten.

Nachtrag: mir wurde zugetragen das es in einer Praxis an einem falschen Arbeitsplatz lag ...

Comments

Guten Tag,
nach kurzer Recherche im Netz fand ich ein gematik Entwurfsdokument (Spezifikation KOM-LE-Clientmodul), in dem folgendes steht:

"Für das digitale Signieren einer Nachricht verwendet das Clientmodul den privaten PrK.HCI.OSIG-Schlüssel der SM-B. Der Zugriff auf die entsprechende Karte und die Erstellung der Signatur erfolgt über die Aufrufe der entsprechenden Operationen der Außenschnittstelle des Konnektors.
Eine detaillierte Beschreibung erfolgt im Kapitel 3.5.1.
Wenn das Signieren fehlschlägt, wird das Senden der Nachricht abgebrochen indem dem  MTA das RSET-Kommando übermittelt wird und das Clientsystem mit dem Antwortcode „451“ inklusive der entsprechenden Fehlermeldung über den Fehlerfall informiert wird."

Was für mich darauf hindeutet, dass es an der Signatur liegt. Karte nicht gesteckt, falscher Arbeitsplatz oder was auch immer.

Ach ja, bei uns geht es auch nicht. Das Versenden von e-mails an Patienten, was vorher problemlos ging, funktioniert jetzt auch nicht mehr.

MfG,
Sascha Zumbusch
i.A. Dr. med. Katharina Zumbusch

---

Addendum:

Es gibt eine Beschreibung der gematik unter:

https://github.com/gematik/api-kim/blob/master/docs/Primaersystem.adoc#nachrichten-versenden

 

"Als Ergebnis der Authentisierung erhält das Primärsystem die SMTP-Antwortcodes vom Clientmodul, das die Verbindung zum KIM-Dienst (MTA) als Proxy offen hält.

• Nutzung des SMTP-DATA-Kommandos
  Es ist erforderlich, dass das Primärsystem das DATA-Kommando zum Versenden einer KIM-Nachricht verwendet. Mit der Zeichensequenz „<CRLF>.<CRLF>“ wird das Ende der Nachricht markiert und anschließend weiterverarbeitet.

• Schließung der SMTP-Verbindung mit QUIT
  Es ist erforderlich, dass das Primärsystem die SMTP-Verbindung mit dem QUIT-Kommando beendet.

• Informieren über gescheiterten Nachrichtenversand
  Wenn das Clientmodul für alle Empfänger der zu versendenden Nachricht keine Verschlüsselungszertifikate ermitteln kann, bricht es den Versand ab und liefert dem Primärsystem den Antwortcode „451“ zurück. Es ist erforderlich, dass das Primärsystem beim Erhalt dieses Antwortcodes den Nutzer über das Scheitern des Nachrichtenversandes mit folgendem Fehlertext informiert:

„Die Nachricht konnte nicht gesendet werden, weil für keinen Empfänger gültige Verschlüsselungszertifikate ermittelt werden konnten.“

Das ist hier nicht der Fall. Wir bekommen nur "Fehler 451" gemeldet.
Vielleicht wäre es möglich in den nächsten Updates sprechende Fehlermeldungen einzubauen?
Damit würde man sich dieses Herumstochern und ausufernde Diskussionen sparen........

Gruß,
Sascha Zumbusch
i.A. Dr. med. Katharina Zumbusch

---

Sehr geehrter Herr Zumbusch,

vielen Dank für die Recheche. Kommt eine Fehlermeldung in den Client-Modul logs? Wir hatten da nichts gesehen ... evtl haben wir nicht gut genug geschaut. Ist natürlich bitter das man So in die irre geführt wird...

Bei Ihrem zweiten Anliegen bin ich etwas verwirrt. Wollen Sie via KIM eine Email an Patienten schicken? Oder geht die "normal" Email nicht zu verschicken?

---

Hallo,

Danke für die Antwort.

Wir haben bisher verschlüsselt Laborberichte und ähnliches an Patienten über AppleMail aus Tomedo heraus verschickt.
Nach der KIM Einrichtung geht das nicht mehr, was eine DEUTLICHE verschlechterung des Workflow und des Sevices an die Patienten darstellt.
Da KIM ebenfalls nicht geht, sind wir wieder in den 80ern gelandet. Wir drucken aus, gehen zum Fax, naja...
Nicht gerade eine Verbesserung.

Wir möchtem im Client sagen können: Mail an Patienten (mit AppleMail) oder KIM Nachricht. Und dann Mails versenden.

Wenn die Fehlermeldung "451" tatsächlich bedeutet, dass kein EMPFÄNGER Zertifikat zur Ver- bzw.  Entschlüsseln gefunden wird, kann man nur konstatieren, dass das Systen a) nicht ausgereift ist und b) die Praxen während des laufenden Betriebes als Versuchskaninchen genutzt werden (Bananensoftware: reift beim Kunden).
Ab Montag ist in der Praxis Urlaub, dann könnte man sich gemeinsam an die Behebung der Probleme machen.
Man könnte einen Termin vereinbaren.

MfG,
Sascha Zumbusch

i.A. Dr. med. Katharina Zumbusch

Klarstellung: mit der Bananensoftware ist NICHT Tomedo gemeint! Das Gesamtsystem der gematik ist damit gemeint.
(Habe soeben gemerkt, dass man dies auch anders lesen kann. Mea culpa....)

---

Ich hab das jetzt so geändert das

a) eArztbiriefe via KIM nur via tomedoMail gehen (war denke ich immer so)

b) neue Emails via Emailverwaltung bei KIM-Account nur tomedoMail nutzt. Es gibt eine Antwort-Email Möglichkeit.

c) neue Emails via Emailverwaltung bei KVConnect geht gar nicht mehr (sollte auch nie gehen, da das nicht von der Teleamtik vorgesehen ist)

d) neue Emails via Emailverwaltung bei normalen Accounts nutzen die Einstellung in der Emaileinstellung.

=> sie müssen sozusagen den EmailAccount nach der Entscheidung "An wen soll eine Email gehen" auswählen und dann den Emailerstellen Knopf drücken.

 

Zum Fehler 451 bin ich leider (nicht überraschend) desillusioniert. Ich hatte erwartet das wir ein POP3/SMTP Schnittstelle bekommen und das wir die Fehlermeldung im Klartext sehen. Leider scheint "irgendwo im TI" ein Fehler zu passieren und der Fehler wird nicht ordentlich weitergereicht und man sagt einfach "HTTP Fehler sollen ausgewertet werden" obwohl das nichts mit dem POP3 zu tun hat.

---

Hallo Herr Thierfelder,
der Dokumentation der gematik entnehme ich, dass die Protokolle zum Empfangen und Versenden POP3S und SMTPS sind.
Zitat: "Verwendung des KIM-Clientmoduls
Es ist erforderlich, dass das Primärsystem mit dem KIM-Clientmodul kommuniziert, um E-Mails zu versenden (SMTPS) und zu empfangen (POP3S)."
Zu finden unter dem oben angegebenen github Link.

 

MfG,

Sascha Zumbusch
i.A. Dr. med. Katharina Zumbusch

---

ähm, ja, ich hatte mich da evtl missverständlich ausgedrückt. mir ist klar das wir eine pop3/smtp schnittstelle via kim-clientmodul haben und nutzen ... was ich anprangere ist das irgendwo im TI eine rest schnittstelle ist die http fehler wirft die ungefiltert an als pop3 fehler mit klartext "451" ankommt und wir sozusagen klartext fehler nochmal parsen müssen

---

In der Anforderungsdatei gemSpec_CM_KOMLE_V1.11.1 (Excel) der gematik für diesen Dienst steht folgendes:

----------------------------------------------------------------------

KOM-LE-A_2025    Abbruch des Sendens, wenn keine Verschlüsselung möglich    "

Das Clientmodul MUSS das Clientsystem mit dem Antwortcode „451“
benachrichtigen und den Senden-Vorgangzum MTA mit dem RSET-Kommando abbrechen,
wenn das Clientmodul die vom Clientsystem erhaltene Nachricht für keinen
Empfänger verschlüsseln kann.

-----------------------------------------------------------------------

Das müsste bedeuten, dass die Verschlüsselung auf der Sender-Seite nicht klappt.
In unserem Fall steckte der eHBA Ausweis im Lesegerät. Ob die Zuordnung des Arbeitsplatzes zum Konnektor korrekt
eingerichtet ist, müsste man evtl. noch einmal überprüfen.
Problem: ich weiß nicht wie.

MfG,
Sascha Zumbusch
i.A. Dr. med. Katharina Zumbusch