[Eisfair] Warnungen bei SSL fetchmail

Detlef Paschke schabau at t-online.de
Mi Mär 26 19:46:52 CET 2014 

Am 26.03.2014 18:49, schrieb Marcus Roeckrath:

Hallo Marcus,

> Wenn Du das mail-addon-certs-Paket benutzt, wird auf den Mismatch reagiert
> und das neue Zertifikat downgeloadet und dessen Fingerprint in die
> Mailkonfiguration eingetragen.

Also ein Mismatch war es ja irgendwie nicht  oder doch? Jedenfalls
reagiert hat mail-addon-certs nicht darauf. Eigentlich wäre es ja genau
für solche Szenarien da gewesen.

>> Ohne die Info hier hätte ich das gar nicht gemerkt. Meldungen im
>> fetchmail.log habe ich schon seit Heute Vormittag gehabt.
> 
> Wie lauten die Meldungen?

Das war die erste derartige Meldung heute. Danach ging es den gesamten
Tag bis auf ganz wenige ausnahmen so weiter.

fetchmail: awakened at Wed, 26 Mar 2014 10:34:30 (CET)
fetchmail: Server certificate verification error: self signed
certificate in certificate chain
fetchmail: Missing trust anchor certificate: /C=DE/O=Deutsche Telekom
AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
fetchmail: This could mean that the root CA's signing certificate is not
in the trusted CA certificate location, or that c_rehash needs to be run
on the certificate directory. For details, please see the documentation
of --sslcertpath and --sslcertfile in the manual page.
fetchmail: OpenSSL reported: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
fetchmail: SSL connection failed.
fetchmail: socket error while fetching from
schabau at t-online.de@securepop.t-online.de
fetchmail: Query status=2 (SOCKET)
fetchmail: sleeping at Wed, 26 Mar 2014 10:34:32 (CET) for 60 seconds

> Du hast in der mail-addon-certs Konfiguration auch die Prüfung
> eingeschaltet?

So wie ich es sehe ja:

START_MAIL_ADDON_CERTS='yes'
MAIL_ADDON_CERTS_FINGERPRINT_UPDATE='yes'
MAIL_ADDON_CERTS_SMTP_UPDATE='yes'
MAIL_ADDON_CERTS_SMTP_UPDATE_CRONTAB='0 1 * * 0'

> Schau Dir mal /var/log/mail-addon-certs.log nach heutigen Aktionen an.


Dort ist heute nur das Update zu finden das ich per Hand angestoßen habe.

26.03.2014 17:36:50 Start request of pop/imap certificates
26.03.2014 17:36:50 securepop.t-online.de:995 in progress
26.03.2014 17:36:50 securepop.t-online.de:995 Using port 995
26.03.2014 17:36:51 securepop.t-online.de:995 pop/imap certificate
downloaded
26.03.2014 17:36:51 securepop.t-online.de:995 Updating all appearances
of fingerprint
26.03.2014 17:36:51 securepop.t-online.de:995
CE:CF:FE:44:69:3A:EF:EF:73:42:97:60:B0:41:95:35 to
26.03.2014 17:36:51 securepop.t-online.de:995
93:3E:E9:1A:02:0B:6F:49:7E:C5:3B:A4:04:8F:8B:EE
26.03.2014 17:36:51 securepop.t-online.de:995 in progress
26.03.2014 17:36:51 securepop.t-online.de:995 Using port 995
26.03.2014 17:36:51 securepop.t-online.de:995 pop/imap certificate
already downloaded
26.03.2014 17:36:51 securepop.t-online.de:995 in progress
26.03.2014 17:36:51 securepop.t-online.de:995 Using port 995
26.03.2014 17:36:51 securepop.t-online.de:995 pop/imap certificate
already downloaded
26.03.2014 17:36:51 Finished request of pop/imap certificates
26.03.2014 17:36:51 Rehashing certificates
26.03.2014 17:36:52 Activating new mail configuration

Zuvor ist erst ein Eintrag vom 23.03. für smtp

23.03.2014 01:00:00 Start request of smtp certificates
23.03.2014 01:00:01 securesmtp.t-online.de:465 smtp certificate downloaded
23.03.2014 01:00:01 securesmtp.t-online.de:465 smtp certificate already
downloaded
23.03.2014 01:00:01 securesmtp.t-online.de:465 smtp certificate already
downloaded
23.03.2014 01:00:01 securesmtp.t-online.de:465 smtp certificate already
downloaded
23.03.2014 01:00:01 Finished request of smtp certificates
23.03.2014 01:00:01 Rehashing certificates

Für securepop.t-online war dann erst wieder dieser vom 05.02.:

05.02.2014 12:08:57 Start request of pop/imap certificates
05.02.2014 12:08:57 securepop.t-online.de:995 in progress
05.02.2014 12:08:57 securepop.t-online.de:995 Using port 995
05.02.2014 12:08:58 securepop.t-online.de:995 pop/imap certificate
downloaded
05.02.2014 12:08:58 securepop.t-online.de:995 No fingerprint update needed
05.02.2014 12:08:58 securepop.t-online.de:995 in progress
05.02.2014 12:08:58 securepop.t-online.de:995 Using port 995
05.02.2014 12:08:58 securepop.t-online.de:995 pop/imap certificate
already downloaded
05.02.2014 12:08:58 securepop.t-online.de:995 in progress
05.02.2014 12:08:58 securepop.t-online.de:995 Using port 995
05.02.2014 12:08:58 securepop.t-online.de:995 pop/imap certificate
already downloaded
05.02.2014 12:08:58 Finished request of pop/imap certificates
05.02.2014 12:08:58 Rehashing certificates

> Was sagt:
> 
> ls -la /var/spool/exim/custom-mail-check-fingerprint

eisfair # ls -la /var/spool/exim/custom-mail-check-fingerprint
lrwxrwxrwx 1 exim trusted 43 Jan 19 14:09
/var/spool/exim/custom-mail-check-fingerprint ->
/var/install/bin/mail-request-popimap-certs


>> Lässt sich das nicht irgendwie einbauen?
> 
> Nein; es ist dem Zertifikat nicht automatisiert zu entnehmen, wo es das/die
> Beglaubigungszertifikate gibt.
> 
> Das geht IMHO ohne Handarbeit nicht.

wäre auch zu schön.
Sicherheit hin oder her, aber bis vor kurzem lief mail hier seit Jahren
ohne Probleme durch und jetzt braucht da irgendwo nur mal einer mit
seinen Sch.... Zertifikaten quer Pupsen und schon geht hier nix mehr.

Viele Grüße
Detlef Paschke

Ps. Sorry für die Mail. Wieder mal den Falschen Button gedrückt.

-- 
registered Fli4l-User #00000209
Das "Zitat des Augenblicks" gibt es nur auf
http://schabau.dyndns.org

Mehr Informationen über die Mailingliste Eisfair