[Eisfair] Zertifikatsprobleme bei Fetchmail
Dirk Alberti
Howy-1 at gmx.de
Mo Apr 24 17:35:35 CEST 2017
Am 24.04.2017 um 17:23 schrieb Juergen Edner:
> Hallo Dirk,
>
>> Nach dem Rehash steht da nichts mehr mit "error", sondern "checking> certificate chain: securepop.t-online.de.pem: OK", genauso auch bei
> den> anderen. :-)> > Dennoch erhalte ich weiterhin die Emails von
> Fetchmail.> > Testweise habe ich mal im Mailpaket bei einem Account den
> Fingerprint> geändert und ein Update der Fingerprints und Zertifikate
> für Fetchmail> durchgeführt, wo der Fingerprint auch sofort wieder
> richtiggestellt> wurde. Das sollte doch heißen, dass zumindest mit den
> Zertifikaten> alles stimmt, oder?
> die Zertifikatskette und die Widerrufslisten sollten somit aktuell
> sein. Ich würde auch erwarten dass die Fetchmail-Meldungen sich nun
> geändert haben.
> Wenn Du mit Fingerprints in Fetchmail arbeitest kann es bekanntermaßen
> immer dann zu Fehlern beim Abruf kommen, wenn Provider die Zertifikate
> auf Ihrer Serverfarm aktualisieren, d.h. einige Server schon das neue,
> andere jedoch noch das alte Zertifikat verwenden. In so einem Fall kann
> es zu einem Fingerprint-Fehler kommen.
Das ist klar, deshalb wurde ja fürs Mailpaket damals das Modul "Mail
addon certificates" bereitgestellt, welches die Fingerprints automatisch
berichtigt. Ich hatte damit nur testen wollen, ob überhaupt der
SSL-Zugriff auf die Mailkonten funktioniert. Mein Gedanke war, wenn das
funktioniert, geht prinziell der SSL-Zugriff.
>
> Um detaillierte Debug-Meldungen angezeigt zu bekommen, kannst Du mittels
> "Mail Service -> 10-Goto mail tools -> 8-Force mail request (selective
> with fetchall set!)" einmal ein problematisches Konto abfragen indem Du
> dessen Nummer, gefolgt von einem 'd' eingibst, z.B. '5d' wenn es sich
> um das fünfte Konto handelt.
> Anschließend kannst Du dir über "12-View fetchmail log file" die Details
> ansehen.
Darin steht genau das gleiche wie in der EMail von Fetchmail:
fetchmail: awakened at Mon, 24 Apr 2017 17:23:55 (CEST)
fetchmail: Server certificate verification error: self signed certificate in certificate chain
fetchmail: Missing trust anchor certificate: /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
fetchmail: This could mean that the root CA's signing certificate is not in the trusted CA certificate location, or that c_rehash needs to be run on the certificate directory. For details, please see the documentation of --sslcertpath and --sslcertfile in the manual page.
fetchmail: OpenSSL reported: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
fetchmail: SSL connection failed.
fetchmail: socket error while fetching from*****@gmx.de at pop.gmx.net
fetchmail: Query status=2 (SOCKET)
fetchmail: Server certificate verification error: self signed certificate in certificate chain
fetchmail: Missing trust anchor certificate: /C=DE/O=T-Systems Enterprise Services GmbH/OU=T-Systems Trust Center/CN=T-TeleSec GlobalRoot Class 2
fetchmail: This could mean that the root CA's signing certificate is not in the trusted CA certificate location, or that c_rehash needs to be run on the certificate directory. For details, please see the documentation of --sslcertpath and --sslcertfile in the manual page.
fetchmail: OpenSSL reported: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
fetchmail: SSL connection failed.
fetchmail: socket error while fetching from*****@freenet.de at mx.freenet.de
fetchmail: Query status=2 (SOCKET)
fetchmail: Server certificate verification error: self signed certificate in certificate chain
fetchmail: Missing trust anchor certificate: /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
fetchmail: This could mean that the root CA's signing certificate is not in the trusted CA certificate location, or that c_rehash needs to be run on the certificate directory. For details, please see the documentation of --sslcertpath and --sslcertfile in the manual page.
fetchmail: OpenSSL reported: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
fetchmail: SSL connection failed.
und so weiter, auch für securepop.t-online und auch für web.de
Wie könnte ich denn von der Konsole aus den SSL-Zugriff auf den
jeweiligen Mailserver testen? Ich meine, da gabs doch mal was, damals
in der Diskussion wegen der Fingerprints...
> Gruß Jürgen--
> Mail: juergen at eisfair.org
Gruß
Dirk
Mehr Informationen über die Mailingliste Eisfair