[Eisfair] SSL-Mail Versand, certs-Paket 1.2.7 => leider nogo
H. D. Oezbilen
oezbilen at gmx.net
Sa Dez 28 20:00:30 CET 2013
Hallo @all,
SMTP SSL Versand die X-te, leider. Obwohl ich die Doku, auch das howto
unter https://ssl.nettworks.org/wiki/display/e/SSL-Mailversand
studierte, funkt *nur* fetchmail per ssl.
Pakete/Versionen:
S: 1.11.7 Mail service
S: 2.2.1 Library: OpenSSL
S: 1.2.7 TLS certificate management
Parameter in der mail-Config:
SMTP_SERVER_TRANSPORT='both'
SMTP_SERVER_TLS_ADVERTISE_HOSTS='mail.gmx.net:smtp.goneo.de:smtp.web.de:mail.arcor.de'
SMTP_SERVER_TLS_VERIFY_HOSTS='mail.arcor.de'
oder
SMTP_SERVER_TLS_VERIFY_HOSTS=''
SMTP_SERVER_TLS_TRY_VERIFY_HOSTS='mail.arcor.de'
oder
SMTP_SERVER_TLS_TRY_VERIFY_HOSTS=''
Dieser hier
>>>> SMTP_SMARTHOST_1_FORCE_TLS='yes'
verhindert einen Versand. *Ohne* diesen Paramter und in der *alten*
Config (ohne SSL-Versand) ist ein Mailversand ueber diesen Provider
einwandfrei. Es liegt also *kein* Config-Hasch-Mich vor.
Auf
telnet 192.168.31.1 25
kriege ich
220 [server.domain] ESMTP Exim 4.80.1 Sat, 28 Dec 2013 19:13:50 +0100
ESMTP sagt, die Verschluesselung wird angeboten.
Ein
openssl s_client -starttls smtp -connect 192.168.31.1:25
bringt das gueltige Zertifikat des eigenen Servers. D.h. es ist gibt ein
gueltiges, vorhandenes exim.pem und der Zugriff/Rechte sind auch OK; es
ist ein Link auf die imapd.pem.
Ein
certs-show-chain.srv exim.pem
bringt ein sauberes
|
+-> end of chain!
BTW: Das certs-show-chain aus dem akt. Paket macht den leidigen Editor
auf, aus einem alten Paket hingegen gibt es auf stdout die Ausgabe.
Das alte certs-show-chain habe ich auch benutzt die Cert-Ketten
aufzulisten, ob einer der notwendigen Certs fehlt; nein, alle die fuer
arcor benoetigt werden sind da.
| certificate: mail.arcor.de.pem (a5e42482)
| subject : /C=DE/ST=NRW/L=Duesseldorf/O=Vodafone D2
GmbH/CN=mail.arcor.de
| issuer : /C=US/O=Thawte, Inc./CN=Thawte SSL CA
|
+->| certificate: thawte_ssl_ca.pem (978601d0)
| subject : /C=US/O=Thawte, Inc./CN=Thawte SSL CA
| issuer : /C=US/O=thawte, Inc./OU=Certification Services
Division/OU=(c) 2006 thawte, Inc. - For authorized use
|
+->| certificate: 2e4eed3c.pem (2e4eed3c)
| subject : /C=US/O=thawte, Inc./OU=Certification Services
Division/OU=(c) 2006 thawte, Inc. - For authorized u
| issuer : /C=US/O=thawte, Inc./OU=Certification Services
Division/OU=(c) 2006 thawte, Inc. - For authorized u
|
+-> end of chain!
Wenn ich
SMTP_SMARTHOST_1_FORCE_TLS='no'
habe, werden die mit 'yes' aufgelaufenen, noch nicht versendeten Mails mit
... R=smart_route T=remote_smtp H=mail.arcor-online.net [151.189.21.116]
X=TLSv1:DHE-RSA-AES256-SHA:256
uebergeben und alles ist gut.
X=TLSv1:DHE-RSA-AES256-SHA:256 sagt es wurde verschluesselt versandt.
Mit
SMTP_SMARTHOST_1_FORCE_TLS='yes'
folgt jedoch dies:
2013-12-28 19:17:58 1VwySO-0002sG-BE SSL verify error: depth=0
error=unable to get certificate CRL cert=/C=DE/ST=NR
W/L=Duesseldorf/O=Vodafone D2 GmbH/CN=mail.arcor.de
2013-12-28 19:17:58 1VwySO-0002sG-BE TLS error on connection to
mail.arcor-online.net [151.189.21.116] (SSL_connect
): error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate
verify failed
2013-12-28 19:17:58 1VwySO-0002sG-BE == email at domain R=smart_route
T=remote_smtp defer (-37): failure while setting up TLS session
Frage:
Laut Doku soll dieses Problem mit dem letzten certs-Paket behoben sein,
weil mit yes -wie Marcus Roeckrath darstellte- exim probiere auch
// zusaetzlich noch das Zertifikat und das Widerufszertifikat der
Gegenstelle //
die ungueltigen certs des Smarthost akt., on the fly zu validieren, zu
erhalten, abzufragen. Das waere aber bisher durch einen copy-Fehler im
certs-Paket nicht funktionsfaehig.
Nun habe ich das letzte Paket s.o. 1.2.7 und es funkt trotzdem nicht. :-(
Any idea?
Wo kann ich ansetzen? Wie/wo ist Abhilfe oder funkt es halt nur mit
SMTP_SMARTHOST_1_FORCE_TLS='no'.
Danke vorab fuer replying.
Gruss
Derya
Mehr Informationen über die Mailingliste Eisfair