[Eisfair] mail 1.12.9 - SSL verify

Silas Jansen mechman at gmx.de
Di Okt 11 09:23:13 CEST 2016 

Hallo zusammen,

durch die Umstellung bei GMX gestern ist mir aufgefallen, dass Exim die Zertifikate nicht korrekt verifiziert. Mir fehlte eine CRL und trotzdem sind die Mails verschickt worden, ein SSL verify error tauchte aber korrekt im Log auf.
Ich habe das ganze daher nochmal auf einem Testsystem nach gebaut, das keine Zertifikate und CRLs installiert hat.

Einstellungen sind wie folgt:

¦ SMTP_SMARTHOST_N               =  1
¦   SMTP_SMARTHOST_1_HOST        =  mail.unitybox.de
¦   SMTP_SMARTHOST_1_AUTH_TYPE   =  login
¦   SMTP_SMARTHOST_1_ADDR        =  foo at bar.de
¦   SMTP_SMARTHOST_1_DOMAIN      =
¦   SMTP_SMARTHOST_1_USER        =  foo at bar.de
¦   SMTP_SMARTHOST_1_PASS        =  ************
¦   SMTP_SMARTHOST_1_FORCE_AUTH  =  yes
¦   SMTP_SMARTHOST_1_FORCE_TLS   =  yes
¦   SMTP_SMARTHOST_1_PORT        =  

In /var/spool/exim/configure

remote_smtp:
  driver = smtp
  hosts_require_auth = mail.unitybox.de
  hosts_require_tls = mail.unitybox.de
  tls_crl           = /usr/local/ssl/crl
  tls_verify_certificates = /usr/local/ssl/certs
  size_addition    = -1
  transport_filter = /usr/local/exim/exim_transport_filter.sh disclaimer \
                     "lan.home" \
                     "${domain:${lookup{${lc:$sender_address_local_part}}lsearch{/etc/exim-addresses}{$value}}}"

Verhalten mit mail 1.11.7:

2016-10-10 21:45:14 exim 4.80.1 daemon started: pid=22641, -q15m, listening for SMTP on port 25 (IPv4)
2016-10-10 21:45:14 Start queue run: pid=22643
2016-10-10 21:45:14 1btgUr-0004nR-Lp SSL verify error: depth=2 error=self signed certificate in certificate chain cert=/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
2016-10-10 21:45:14 1btgUr-0004nR-Lp TLS error on connection to mail.unitybox.de [80.69.98.111] (SSL_connect): error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
2016-10-10 21:45:14 1btgUr-0004nR-Lp == foo at bar.de <foo at lan.home> R=smart_route T=remote_smtp defer (-37): failure while setting up TLS session

Also korrekt wie ich das erwarte, senden schlägt fehlt.


Mit der aktuellen Version:

2016-10-11 09:00:13 exim 4.87 daemon started: pid=14673, -q15m, listening for SMTP on port 25 (IPv4) port 587 (IPv4)
2016-10-11 09:00:13 Start queue run: pid=14675
2016-10-11 09:00:13 End queue run: pid=14675
2016-10-11 09:00:42 Warning: purging the environment.
 Suggested action: use keep_environment.
2016-10-11 09:00:42 1btr3K-0003ul-5J <= foo at bar.de U=root P=local S=335
2016-10-11 09:00:42 1btr3K-0003ul-5J [80.69.98.111] SSL verify error: depth=2 error=self signed certificate in certificate chain cert=/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
2016-10-11 09:00:42 1btr3K-0003ul-5J [80.69.98.111] SSL verify error: depth=0 error=unable to get certificate CRL cert=/C=DE/postalCode=50933/ST=NW/L=Cologne/street=Aachener Str. 746-750/O=Unitymedia NRW GmbH/OU=ISP/OU=PremiumSSL Wildcard/CN=*.unitybox.de
2016-10-11 09:00:42 1btr3K-0003ul-5J [80.69.98.111] SSL verify error: depth=1 error=unable to get certificate CRL cert=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO High-Assurance Secure Server CA
2016-10-11 09:00:42 1btr3K-0003ul-5J [80.69.98.111] SSL verify error: depth=2 error=unable to get certificate CRL cert=/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
2016-10-11 09:00:42 1btr3K-0003ul-5J => foo at bar.de <foo at lan.home> R=smart_route T=remote_smtp H=mail.unitybox.de [80.69.98.111] X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no DN="/C=DE/postalCode=50933/ST=NW/L=Cologne/street=Aachener Str. 746-750/O=Unitymedia NRW GmbH/OU=ISP/OU=PremiumSSL Wildcard/CN=*.unitybox.de" A=cram_md5 C="250 2.0.0 Ok: queued as 3stSZ23Fb8z6dtBQ"
2016-10-11 09:00:42 1btr3K-0003ul-5J Completed

Die Mail geht also raus, obwohl es SSL verify errors gibt.

Kann das jemand nachvollziehen? Ich finde einfach nicht, was ich übersehe. Laut Exim-Manual sollte das auch alles so passen. Zwischen den Versionen sind die Einstellungen gleich. Leider kann ich nicht genau eingrenzen, ab welcher Version das Problem auftritt, habe die Zwischenversionen nicht mehr zur Verfügung.

Grüße
Silas

Mehr Informationen über die Mailingliste Eisfair