[Eisfair] SSL-Mailversand - Error: file '/usr/local/ssl/certs/cbf06781.0' missing!

[Marcus Röckrath]

Hallo Oliver,

Oliver Mack wrote:

> Ich bin zuerst nach dem Howto SSL-Mailversand auf der Eisfair Homepage
> vorgegangen und habe die Zertifikats Dateien selbst erstellt und das
> Update der hashes über den Cert Service erledigt.
> 
> Ich bin aber immer wieder in den gleichen Fehler gelaufen, beim
> überprüfen der Zertifikatsketten erhalte ich ein
> 
> Error: file '/usr/local/ssl/certs/cbf06781.0' missing!

Wenn eisfair der Meinung ist, dass die Kette unvollständig ist, war es
bislang auch immer so.

> Ich habe meine Dateien mit dem Tool ssl-certificate-check von Github
> geprüft, was die Zertifikatsketten als vollständig erachtet hat.

Bitte zeige mal den Output von "Show certificate chain" aus dem certs_menu
(Unterpunkt Show ceritificate related informations).

Möglich, dass der Provider sein Endzertifikat, die Zwischenzertifikate und
sogar das Root-Zertifikat übermittelt!

Einem auf solche Weise erhaltenen Root-Zertifikat zu vertrauen, halte ich
für grob fahrlässig; eine vollstänfige Kette kann ich mir auch hier für
meinen Webserver basteln, die dann für einen Client auch korrekt aussieht,
aber nichts über das Vetrauen brgl. des Endzertifikates aussagt.

Nachdem ich solches "Missverhalten" von Providern beobachtet habe, habe ich
Jürgen (Maintainer von certs einen Patch zukommen lassen, der bei einem
Zertifikatsimport nie ein Rootzertifikat ohne besondere Aufforderung mehr
importiert.

> Es kommt aber beim versenden von eMails und überprüfen der
> Zertifikatsketten der selbe Fehler, was mache ich falsch?

Da fehlt eine Zertifikat in der Kette.

mail-addon-certs be,üht die Skripte des certs-Paketes und extrahiert dann
das End- und eventuell enthaltene Zwischenzertifikate.

Mit den oben angeforderten Infos bekommen wir das schon hin; in ähnlicher
Weise läuft hier mein Mailssystem schon ewig.

> Ein andere Frage, ich habe in der Smarthost Konfiguration die
> Authentifizierung auf "LOGIN" stehen, zusammen mit TLS ist dann alles
> Verschlüsselt, die Anmeldung und die eigentliche Datenübertragung?

Ich verwende bei gmx und T-online

SMTP_SMARTHOST_x_AUTH_TYPE='plain'

mit TLS und da ist dann auch das Plainpasswort schon durch die
TLS-Verbindung gesichert.

> Mir ist aufgefallen das keine CA beim installieren des Mailservice
> Pakets erstellt wurde, ich glaube das war mal so, ist aber auch schon
> über 10 Jahre her das ich Eisfair benutzt habe, ich dachte das Projekt
> sein eingeschlafen und hatte es deswegen nicht mehr auf den Radar.
> Es wundert mich wie wenig Aufmerksamkeit das Projekt erhält, in Youtube
> gibt es kein einziges Video über Eisfair, dabei hat die Distribution so
> ein einzigartiges und effektives Konzept.
> 
> Ich habe die CA nachträglich aktiviert und ein Zertifikat für Exim
> erstellt und danach die Downloads der Provider Zertifikate noch mal
> angestoßen, hat aber keine Änderung gebracht.

Eine lokale Zertifikatsstruktur brauchst due für den Smarthostbetrieb nicht.

Falls deine lokalen Clients Mail oder externe User verschlüsselt am Server
abliefern sollen, brauchst du ein Zertifikat samt CA auf dem eisfair-Server
für exim.

Für deinen Wunschbetrieb unnötig.

Für den Fall eines externen Zugriffes auf deinen lokalen SMPT exim, sollte
man auch eher auf ein letsencrypt-Zertifikat setzen, denn das ist
international ohne Verrenkungen für jeden überprüfbar.

-- 
Gruß Marcus
[eisfair-Team]