[Eisfair] certificate name mismatch

Juergen Edner juergen at eisfair.org
Di Feb 20 14:53:06 CET 2018 

Hallo Detlef,
> mir ist gerade im exim mainlog beim senden einer Nachricht folgende
> Zeile(n) aufgefallen.
> 
> 2018-02-20 13:22:36 1eo6wO-0006H8-B2 [194.25.134.110] SSL verify error:
> certificate name mismatch: DN="/C=DE/O=Deutsche Telekom AG/OU=P&I
> AM/DCS/ST=Hessen/L=Darmstadt/emailAddress=certadmin_pi at telekom.de/CN=securesmtp.t-online.de"
> H="sfwdallmx.t-online.de"
> 
> 2018-02-20 13:22:37 1eo6wO-0006H8-B2 => XXX at t-online.de R=smart_route
> T=remote_587 H=sfwdallmx.t-online.de [194.25.134.110]
> X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no DN="/C=DE/O=Deutsche
> Telekom AG/OU=P&I
> AM/DCS/ST=Hessen/L=Darmstadt/emailAddress=certadmin_pi at telekom.de/CN=securesmtp.t-online.de"
> A=login C="250 2.0.0 Message accepted. / Nachricht akzeptiert."
> 
> 2018-02-20 13:22:37 1eo6wO-0006H8-B2 Completed
> 
> Gesendet wurde die Nachricht aber trotzdem.
> Das Cert-addon habe ich installiert.
> 
> Was für Daten kann ich zur Ursachen suche liefern?

die Ursache ist eindeutig. Diel Telekom bzw. T-Online verwendet als
offiziellen DNS-Namen für den SMTP-Server u.a. "securesmtp.t-online.de"
welchen Du auch in Deiner Konfiguration stehen hast.

Das verwende Serverzertifikat beinhaltet dabei folgende mögliche
DNS-Namen:

# openssl x509 -in securesmtp.t-online.de.pem -noout -text | \
  grep "securesmtp"
Subject: C = DE, O = Deutsche Telekom AG, OU = P&I AM/DCS,
ST = Hessen, L = Darmstadt, emailAddress = certadmin_pi at telekom.de,
CN = securesmtp.t-online.de
DNS:securesmtp.t-online.de,
DNS:smtpmail.t-online.de,
DNS:smtp-mail.t-online.de,
DNS:secure-smtp.t-online.de,
DNS:umsgate.t-online.de,
DNS:asmtp.t-online.de,
DNS:secureasmtp.t-online.de,
DNS:smtp.t-online.de

Wenn Du jetzt einmal eine DNS-Abfrage durchführst kannst Du sehen,
dass der eigentliche DNS-Name des Servers jedoch anders lautet:

# nslookup securesmtp.t-online.de
Server:         192.168.1.15
Address:        192.168.1.15#53

Non-authoritative answer:
securesmtp.t-online.de  canonical name = sfwdallmx.t-online.de.
Name:   sfwdallmx.t-online.de
Address: 194.25.134.110
Name:   sfwdallmx.t-online.de
Address: 194.25.134.46

Da das verwendete TLS-Zertifikat diesen Servernamen jedoch nicht
enthält kommt es zu der besagten Warnung. Eventuell solltest Du
den Telekom-Support kontaktieren und sie auf diesen Fehler
hinweisen.

Gruß Jürgen
-- 
Mail: juergen at eisfair.org

Mehr Informationen über die Mailingliste Eisfair