[Eisfair] Mail-Paket: SMTP und Smarthost, Fehlermeldung
Alex Busam
sambu at gmx.de
Fr Feb 6 20:47:24 CET 2015
Hi,
danke Euch!!!
Web.de war jetzt der vierte Versuch mit ähnlichen Meldungen. Es
unterstützt kein Versenden Fremder Domains, daher bin ich wieder auf die
Ausgangssituation zurückgegangen, den smtp.1und1.de. Das ganze lief ja
jahrelang bis zum 3.2.2015. Ich hatte zuerst den clamav verantwortlich
gemacht. Den hab ich komplett deaktiviert, weil er ein "ERROR malformed
database" bei der Installation des letzten Updates lieferte und den
clamd nicht mehr startet. Hab aber noch nicht weiter geforscht.
telnet smtp.1und1.de smtp
EHLO test.microsoft.com
liefert:
AUTH LOGIN PLAIN
STARTTLS
Daher unterstützt der kein md5 und ich kann als sicherste Variante
"login" wählen. Leider kein md5. Bei md5 würde das Kennwort nie übers
netz gehen. Richtig?
Im cert-Paket hatte ich für die 4 durchprobierten SMTPs die
Zertifikate-Ketten betrachtet und diese waren alle vollständig! Auch das
CERTS_CRL_CRON war auf yes! Das manuelle "update smtp certificates for
exim" hat nichts gebracht. (Dies betrifft nur das Zertifikat selbst und
nicht die in der Kette folgenden?) Allerdings brachte das "update
revocation lists" den Erfolg und seither verschickt er wieder korrekt!
Wobei er das je jede nacht automatisch machen hätte sollen.
Die Frage mit dem Port für den SMTP war im Hinblick auf die
Verschlüsselung gemeint. SSMTP ist jetzt aus. ok, SSL, alt und unsicher.
(Braucht man das noch im Paket oder sollte man den Parameter
rausschmeissen....?) Aber ist smtp auf Port 25 immer unverschlüsselt?
Ist smtp auf 587 immer verschlüsselt?
"ein im Internet gültiges zertifikat" bedeutet, dass in Thunderbird mein
eigenes CA importiert sein muss, mit dem mein exim.pem, der auf meine
Dyndns-Domain.pem verlinkt ist, signiert wurde!?
Der Aufruf der gleichen Dyndns-Domain im Brower funktioniert ohne
Fehlermeldung, wenn ich im Firefox selbiges CA importiert hatte. Daher
kann ich davon ausgehen, dass dies im Thunderbird oder auch unter
Android entsprechend funktioniert!?
Unverschlüsselte Kontaktaufnahme verhindere ich durch
"SMTP_SERVER_TRANSPORT="tls" und eben nicht both. "SMTP_LISTEN_PORT"
kann ich ruhig leer lassen, sodass er auf 25 und 587 weiterhin horcht.
Richtig?
SMTP_SMARTHOST_1_FORCE_TLS = yes sorgt auch dafür, dass mein exim immer
verschlüsselt Kontakt zum smarthost aufnimmt!?
Ist das ebenfalls Richtig!?
...glaub dann hab ichs ...:-) Danke und viele Grüße
Alex
Am 06.02.2015 um 15:40 schrieb Alex Busam:
> Hallo,
> ich verzweifle gerade mit meiner SMTP-Konfiguration. Ich würde gerne den
> SMTP vom lokalen Netz erreichbar machen, verschlüsselt übertragen,
> Passwort möglichst auch verschlüsselt. Und das Ausliefern über einen
> einzigen SMTP_SMARTHOST
> Ist es korrekt, dass SSL deaktiviert sein sollte? Ist dies =
> SMTP_SERVER_SSMTP = no ?
>
> Nun hab ich entdeckt, dass seit 3 Tagen die Mails zwar angenommen, aber
> nicht mehr rausgeschickt werden. Fehlermeldung dazu:
> 2015-02-06 15:18:21 1YJjQq-0000aJ-GD SSL verify error: depth=1
> error=unable to get certificate CRL cert=/C=DE/O=T-Systems International
> GmbH/OU=T-Systems Trust
> Center/ST=NRW/postalCode=57250/L=Netphen/street=Untere Industriestr.
> 20/CN=TeleSec ServerPass DE-1
> 2015-02-06 15:18:21 1YJjQq-0000aJ-GD TLS error on connection to
> smtp.web.de [213.165.67.124] (SSL_connect): error:14090086:SSL
> routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
> 2015-02-06 15:18:21 1YJjQq-0000aJ-GD SSL verify error: depth=1
> error=unable to get certificate CRL cert=/C=DE/O=T-Systems International
> GmbH/OU=T-Systems Trust
> Center/ST=NRW/postalCode=57250/L=Netphen/street=Untere Industriestr.
> 20/CN=TeleSec ServerPass DE-1
> 2015-02-06 15:18:21 1YJjQq-0000aJ-GD TLS error on connection to
> smtp.web.de [213.165.67.108] (SSL_connect): error:14090086:SSL
> routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
> 2015-02-06 15:18:21 1YJjQq-0000aJ-GD == ich at ich.de R=smart_route
> T=remote_smtp defer (-37): failure while setting up TLS session
>
> Ich dachte es fehlt ein Zertifikat. Hab mit Mail addon certificates
> erneuert, ohne Erfolg. Hab die SMTP-Kontodaten von 3 verschiedenen
> Providern durchprobiert (smtp.1und1.de, smtp.1und1.com, smtp.web.de,
> mail.gmx.net) mit jeweils ähnlichen Meldungen. Wenn ich mit dem
> certs-Paket die Chain anzeigen lasse, dann sind die jeweils vollständig!
>
> Hier noch die Teile aus der Config:
> START_SMTP='yes'
> SMTP_QUALIFY_DOMAIN='domain.de'
> SMTP_HOSTNAME='geheim.dyndns.org'
> --> ist dies korrekt? Unter diesem Dyndns ist der IMAP-Server des
> Eisfair erreichbar. D.h. aber nichts mit meinen Mailadressen zu tun.
> SMTP_QUEUE_INTERVAL='10'
> SMTP_QUEUE_OUTBOUND_MAIL='no'
> SMTP_QUEUE_ACCEPT_PER_CONNECTION='10'
> SMTP_LISTEN_PORT='smtp'
> sollte hier Port 25 oder 587 oder smtp rein?
> SMTP_MAIL_TO_UNKNOWN_USERS='copy'
> SMTP_ALLOW_EXIM_FILTERS='no'
> SMTP_CHECK_RECIPIENTS='50'
> SMTP_CHECK_SPOOL_SPACE=''
> SMTP_CHECK_SPOOL_INODES=''
> SMTP_LIMIT='100M'
> SMTP_REMOVE_RECEIPT_REQUEST='yes'
> SMTP_SERVER_TRANSPORT='tls'
> SMTP_IDENT_CALLBACKS='yes'
> SMTP_SERVER_TLS_ADVERTISE_HOSTS='*'
> SMTP_SERVER_TLS_VERIFY_HOSTS=''
> SMTP_SERVER_TLS_TRY_VERIFY_HOSTS=''
> SMTP_SERVER_SSMTP='no'
> SMTP_SERVER_SSMTP_LISTEN_PORT='smtps'
>
> SMTP_AUTH_TYPE='user'
>
> SMTP_SMARTHOST_DOMAINS=''
> SMTP_SMARTHOST_ONE_FOR_ALL='yes'
> SMTP_SMARTHOST_ROUTE_TYPE='domain'
> SMTP_SMARTHOST_ONE_FOR_ALL='yes'
> SMTP_SMARTHOST_N='1'
> SMTP_SMARTHOST_1_HOST='smtp.web.de'
> SMTP_SMARTHOST_1_AUTH_TYPE='login'
> SMTP_SMARTHOST_1_ADDR=''
> SMTP_SMARTHOST_ROUTE_TYPE='addr'
> SMTP_SMARTHOST_1_DOMAIN=''
> SMTP_SMARTHOST_ROUTE_TYPE='domain'
> SMTP_SMARTHOST_1_USER='ich'
> SMTP_SMARTHOST_1_PASS='geheim'
> SMTP_SMARTHOST_1_FORCE_AUTH='yes'
> SMTP_SMARTHOST_1_FORCE_TLS='yes'
> SMTP_SMARTHOST_1_PORT=''
>
> Wo sind all meine Denkfehler versteckt....?
>
> Viele Grüße
> Alex
>
---
Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.
http://www.avast.com
Mehr Informationen über die Mailingliste Eisfair