[Eisfair] mail 1.17.2 - nach update -> keine locale mails mehr
Helmut Pohl
helmut_pohl at arcor.de
Mo Feb 16 11:23:27 CET 2026
Hallo Marcus,
jetzt taucht das ursprüngliche Problem wieder auf, das Status-Mail aus
dem internen LAN nicht angenommen werden:
xen-eismail # tail -f /var/spool/exim/log/mainlog
2026-02-16 09:34:32 Failed to open OCSP response file
"/usr/local/ssl/crl/xen-eismail.gallien.ocsp": NULL
2026-02-16 09:34:32 [192.168.1.60] SSL verify error: depth=0
error=unable to get certificate CRL
cert=/C=FR/ST=Vaucluse/L=Pernes-les-Fontaines/O=private/OU=eisfair/CN=eis64-home.gallien/emailAddress=admin at eis64-home.gallien
2026-02-16 09:34:32 TLS error on connection from eis64-home.gallien
[192.168.1.60] (SSL_accept): error:0A000086:SSL routines::certificate
verify failed
Ist es möglich die ocsp-Abfrage auszuschalten?
Ich vermute einen Zusammenhang mit mail 1.17 und 1.17.2
Am 16.02.2026 um 08:28 schrieb Marcus Röckrath:
> Hallo Helmut,
>
> Ist das CA vielleicht abgelaufen.
Nein
> Da müsste man wohl den Debug/Log-Level auf dem eis mal hochtreiben, denn
> wenn das sich auf den eis bezieht, was ich auch mit Gegenstelle verbinden
> würde, müsste das auch dort zu "loggen" sein.
Ich habe schon Debug in mail aktiviert. Aber nach "* Starting
mail.service ..." passiert nichts, nach dem timeout kommt dann:
"Job for mail.service failed because a timeout was exceeded.
See "systemctl status mail.service" and "journalctl -xeu mail.service"
for details.[ FAIL ]
Press ENTER to continue"
>
>> xen-test2 # tail -f /var/spool/exim/log/mainlog
>>
>> 2026-02-15 23:59:06 Failed to open OCSP response file
>> "/usr/local/ssl/crl/xen-test2.gallien.ocsp": NULL
>> 2026-02-15 23:59:08 [192.168.1.11] SSL verify error: depth=0
>> error=unable to get certificate CRL
>> cert=/C=FR/ST=Vaucluse/L=Pernes-les-Fontaines/O=private/OU=eisfair/CN=xen-
> test2.gallien/emailAddress=admin at eis64-home.gallien
>
> Es geht hier aber erstmal um die CRL, was ich hier nach außen auch habe,
> aber die gesicherte Verbindung erstmal nicht verhindert:
Das ist der Unterschied, hier wird sie verhindert.
>
> [212.227.17.190] SSL verify error: depth=0 error=unable to get certificate
> CRL cert=/C=DE/ST=Rheinland-Pfalz/L=Montabaur/O=1&1 Mail & Media
> GmbH/CN=mail.gmx.net
> [212.227.17.190] SSL verify error: depth=1 error=unable to get certificate
> CRL cert=/C=DE/O=Deutsche Telekom Security GmbH/CN=Telekom Security ServerID
> OV Class 2 CA
> [212.227.17.190] SSL verify error: depth=2 error=unable to get certificate
> CRL cert=/C=DE/O=T-Systems Enterprise Services GmbH/OU=T-Systems Trust
> Center/CN=T-TeleSec GlobalRoot Class 2
>
> aber die Übertragung geschieht über eine TLS-Verbindung:
>
> => xxx at abc.de R=smart_route T=remote_587 H=mail.gmx.net [212.227.17.190]
> X=TLS1.3:TLS_AES_256_GCM_SHA384:256 CV=no DN="/C=DE/ST=Rheinland-
> Pfalz/L=Montabaur/O=1&1 Mail & Media GmbH/CN=mail.gmx.net" A=login_client
> C="250 Requested mail action okay, completed: id=...
>
>> 2026-02-15 23:59:08 TLS error on connection from dell-inspiron.gallien
>> [192.168.1.11] (SSL_accept): error:0A000086:SSL routines::certificate
>> verify failed
>
> Diese Zeile habe ich nie, verwende aber intern keine Verschlüsselung, müsste
> ich mal nachstellen.
>
> Bitte poste mal aus dem certs-Menu die Details des exim.pem und des ca.pem.
>
ca.pem:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
36:6f:44:77:16:f5:4d:8c:f5:cf:e5:a0:40:ff:b9:5c:92:dd:6a:54
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=FR, ST=Vaucluse, L=Pernes-les-Fontaines, O=eisfair
CA, OU=My eisfair Certificate Aut
hority, CN=eisfair Admin, emailAddress=admin at eis64-home.gallien
Validity
Not Before: Dec 29 10:04:02 2023 GMT
Not After : Dec 26 10:04:02 2033 GMT
Subject: C=FR, ST=Vaucluse, L=Pernes-les-Fontaines, O=eisfair
CA, OU=My eisfair Certificate Au
thority, CN=eisfair Admin, emailAddress=admin at eis64-home.gallien
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:d5:b6:aa:2d:fb:2c:ce:8f:32:07:45:a6:b6:4e:
...
...
...
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Subject Key Identifier:
5A:C5:1C:0E:EB:1C:AC:1F:9B:E1:33:4A:B2:13:B7:E2:C1:54:AC:23
X509v3 Authority Key Identifier:
keyid:5A:C5:1C:0E:EB:1C:AC:1F:9B:E1:33:4A:B2:13:B7:E2:C1:54:AC:23
DirName:/C=FR/ST=Vaucluse/L=Pernes-les-Fontaines/O=eisfair CA/OU=My
eisfair Certificat
e Authority/CN=eisfair Admin/emailAddress=admin at eis64-home.gallien
serial:36:6F:44:77:16:F5:4D:8C:F5:CF:E5:A0:40:FF:B9:5C:92:DD:6A:54
X509v3 Key Usage:
Certificate Sign, CRL Sign
Netscape Cert Type:
SSL CA, S/MIME CA, Object Signing CA
X509v3 CRL Distribution Points:
Full Name:
URI:http://eis64-home.gallien/certs/crl.pem
Netscape Base Url:
http://eis64-home.gallien/
Netscape CA Policy Url:
URI:http://eis64-home.gallien/certs/crl.pem
Netscape Comment:
This certificate is a Root CA Certificate
Signature Algorithm: sha384WithRSAEncryption
Signature Value:
b2:8d:b5:fc:45:d3:f3:30:a7:f9:4a:6d:13:81:d4:f4:7d:97:
...
...
...
exim.pem
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 6 (0x6)
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=FR, ST=Vaucluse, L=Pernes-les-Fontaines, O=eisfair
CA, OU=My eisfair Certificate Aut
hority, CN=eisfair Admin, emailAddress=admin at eis64-home.gallien
Validity
Not Before: Dec 29 13:12:04 2023 GMT
Not After : Dec 26 13:12:04 2033 GMT
Subject: C=FR, ST=Vaucluse, L=Pernes-les-Fontaines, O=private,
OU=eisfair, CN=xen-test2.gallie
n, emailAddress=admin at eis64-home.gallien
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ab:7c:b9:1d:57:9d:f0:5c:3b:f5:08:84:c9:09:
....
....
....
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
DNS:xen-test2.gallien
X509v3 Subject Key Identifier:
20:3D:F5:AC:42:C2:B4:88:C6:5A:39:6C:EE:2C:9F:0F:56:69:1E:DD
X509v3 Authority Key Identifier:
5A:C5:1C:0E:EB:1C:AC:1F:9B:E1:33:4A:B2:13:B7:E2:C1:54:AC:23
Signature Algorithm: sha384WithRSAEncryption
Signature Value:
44:0f:9e:cc:c2:cf:da:95:5c:d3:39:57:34:8d:60:76:ac:09:
...
...
...
Gruß,
Helmut
Mehr Informationen über die Mailingliste Eisfair