[Eisfair] [MAIL] Verständnisproblem

Marcus Roeckrath marcus.roeckrath at gmx.de
Mi Mär 5 16:43:21 CET 2014 

Hallo Peter,

Peter Schauder wrote:

> Heute morgen dann Grundlagenforschung:
> Im /var/spool/exim/log/mainlog fand sich dann ein:
> 
> 2014-03-05 07:43:18 1WKujH-0007JY-76 SSL verify error: depth=0
> error=CRL has expired cert=/C=DE/O=freenet.de
> GmbH/ST=Hamburg/L=Hamburg/emailAddress=abuse at freenet.de/CN=*.freenet.de
> 
> CRL...da war letzten was in der Newsgroup.

Ohne gültige CRL bricht exim aus Sicherheitsdiensten die Verbindung ab. 

> Du solltest das aktuellste certs-Paket installieren, den Parameter
> CERTS_CRL_CRON='yes' setzen und dann über den Menüpunkt 'Update
> revocation list(s)' die Aktualisierung der Widerrufslisten einmal
> von Hand anstoßen. Danach sollte dies zukünftig automatisch im
> Hintergrund geschehen.
> 
> Blöd nur, das CERTS_CRL_CRON schon auf yes steht und an jedem 1.
> Wochentag um 15:11 Uhr den Update tun müßte. Und laut messages hat er
> das auch getan (am letzten Montag eben). Aber die Fehlermeldung
> verschwand erst, nachdem ich den Update per Menu angestoßen hatte.

Da hat es in den letzten Versionen Änderungen gegeben und daher solltest Du
unbedingt die neueste certs-Version einsetzen.

Da für einige Zertifikate die Lebensdauer der CRLs nur noch wenige Tage
beträgt, wurde die CRL-Aktualisierung intern umgestellt und zwar derart,
dass für jedes Zertifikat ein eigener AT-Job berechnet wird.

> Jetzt bleiben nur noch die Meldungen der Form:
> 2014-03-05 07:54:38 1WL5ej-0004zU-QU == xx at web.de R=smart_route
> T=remote_587 defer (-53): retry time not reached for any host

Die Mails warten auf Versand; wenn die Retry-Time erreicht wird, gehen die
auch raus.

> So, und jetzt die Fragen:
> 1. Kann die CRL Update Problematik mit der installierten 1.3.1 statt
> der neuesten 1.3.2 zutun haben?

Ja.

> 2. Was muß ich unter der "retry time" verstehen? Wird sich dieses
> Problem mit der Zeit (und wenn ja, welcher) von selbst erledigen oder
> muß ich die in der Que hängenden Mails einzeln 'resenden'

Die Zeitspanne bis zum nächsten Sendeversuch.

> 3. Gibt es einen 'Frühwarnmechanismus' für eine ablaufende CRL? Und
> wenn ja, wo?

Unnötig (s. o.).

-- 
Gruss Marcus

Mehr Informationen über die Mailingliste Eisfair