[Eisfair] E1: Umstellung auf SSL-Mail

Marcus Roeckrath marcus.roeckrath at gmx.de
Fr Nov 29 09:05:32 CET 2013 

Hallo Holger,

Holger Bruenjes wrote:

>> SMTP_SMARTHOST_1_FORCE_TLS
>> SMTP_SMARTHOST_1_PORT=''
>
> Das habe ich noch nicht erzwungen
> 
> STARTTLS wird ja genommen, dass war mir im Moment gut genug

Ich habe immer mehr Zweifel, dass hier wirklich eine Zertifikatsprüfung mit
diesen Einstellungen vorgenommen wird; auch wenn die Zertifikate auf dem
eigenen Server überhaupt nicht vorliegen, bekommt man

> 24891 SSL_connect succeeded
> 24891 Cipher: UNKNOWN:ECDHE-RSA-AES256-GCM-SHA384:256

Erst wenn in den Smarthost-Einstellungen TLS auf yes gesetzt wird, wird das
versucht und schlägt fehl.

1. mail.gmx.net

Zertifikate (Hashwerte): f0f34c26 -> eb20b578 -> 812e17de -> Ende

23706 Initialized TLS
23706 SSL CRL value is a directory /usr/local/ssl/crl
23706 Calling SSL_connect
23706 SSL info: before/connect initialization
23706 SSL info: before/connect initialization
23706 SSL info: SSLv2/v3 write client hello A
23706 SSL info: SSLv3 read server hello A
23706 LOG: MAIN
23706   SSL verify error: depth=0 error=unable to get certificate CRL
cert=/C=DE/O=1&1 Mail & Media
GmbH/ST=Rhineland-Palatinate/L=Montabaur/emailAddress=server-certs at 1und1.de/CN=mail.gmx.net
23706 SSL info: SSLv3 read server certificate B
23706 SSL info: SSLv3 read server certificate B
23706 SSL info: SSLv3 read server certificate B
23706 LOG: MAIN
23706   TLS error on connection to mail.gmx.net [212.227.17.168]
(SSL_connect):error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
23706 ok=0 send_quit=0 send_rset=1 continue_more=0 yield=1 first_address is
notNULL

2. securesmtp.t-online.de

Zertifikate (Hashwerte): fe118475 -> a302054c -> b204d74a -> Ende

25217 Initialized TLS
25217 SSL CRL value is a directory /usr/local/ssl/crl
25217 Calling SSL_connect
25217 SSL info: before/connect initialization
25217 SSL info: before/connect initialization
25217 SSL info: SSLv2/v3 write client hello A
25217 SSL info: SSLv3 read server hello A
25217 LOG: MAIN
25217   SSL verify error: depth=0 error=unable to get certificate CRL
cert=/C=DE/ST=Hessen/L=Darmstadt/O=Deutsche Telekom AG/OU=P&I
AM/DCS/CN=securesmtp.t-online.de
25217 SSL info: SSLv3 read server certificate B
25217 SSL info: SSLv3 read server certificate B
25217 SSL info: SSLv3 read server certificate B
25217 LOG: MAIN
25217   TLS error on connection to sfwdallmx.t-online.de [194.25.134.110]
(SSL_connect): error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Was bedeutet: "error=unable to get certificate CRL"

Google vor die Füße geschmissen fordert einige Treffer, die sich um OpenSSL
drehen; exim setzt IMHO auch OpenSSL ein. MUss OpenSSL aufdem eis anders
konfiguriert werden?

Ein Treffer liefert eine ältere Message von Jürgen Edner in einer exim Liste
auf:

https://lists.exim.org/lurker/message/20040803.184514.69e40058.fi.html

Hier geht es darum, dass der Provider das Zertifikat im DER statt PEM Format
überträgt.

Antworten auf diese Anfrage Jürgens habe ich nicht gefunden.

Das letzte Zertifikat der beiden obigen Zertifikats beinhaltet nicht nur den
eigentlichen Zertifikatsblock sondern beginnt mit (hier 812e17de):

========================================
 Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 38 (0x26)
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=DE, O=Deutsche Telekom AG, OU=T-TeleSec Trust Center,
CN=Deutsche Telekom Root CA 2
        Validity
            Not Before: Jul  9 12:11:00 1999 GMT
            Not After : Jul  9 23:59:00 2019 GMT
        Subject: C=DE, O=Deutsche Telekom AG, OU=T-TeleSec Trust Center,
CN=Deutsche Telekom Root CA 2
...
========================================

-- 
Gruss Marcus

Mehr Informationen über die Mailingliste Eisfair