[Eisfair] mail 1.17.2 - nach update -> keine locale mails mehr

Marcus Röckrath marcus.roeckrath at gmx.de
Mo Feb 16 14:41:14 CET 2026 

Hallo Helmut,

Helmut Pohl wrote:

> ich bin mit dem mailserver auf dovecot 1.3.0 und mail 1.17.0 zurück
> gegangen. Mit der alten Konfiguration kommen interne verschlüsselte mail
> wieder an.
> 
> mail 1.17.2:
> 
> 2026-02-16 12:09:19 Failed to open OCSP response file
> "/usr/local/ssl/crl/xen-eismail.gallien.ocsp": NULL
> 2026-02-16 12:09:19 [192.168.1.60] SSL verify error: depth=0
> error=unable to get certificate CRL
> cert=/C=FR/ST=Vaucluse/L=Pernes-les-
Fontaines/O=private/OU=eisfair/CN=eis64-
home.gallien/emailAddress=admin at eis64-home.gallien
> 2026-02-16 12:09:19 TLS error on connection from eis64-home.gallien
> [192.168.1.60] (SSL_accept): error:0A000086:SSL routines::certificate
> verify failed
> 
> 
> mail 1.17
> 
> 2026-02-16 12:14:24 1vrwYY-0000000028H-2mQ3 <= root at eis64-home.gallien
> H=eis64-home.gallien [192.168.1.60] P=esmtpsa
> X=TLS1.3:TLS_AES_256_GCM_SHA384:256 CV=no A=login_server:helmut S=6875
> 2026-02-16 12:14:24 1vrwYY-0000000028H-2mQ3 => helmut
> <postmaster at xen-eismail.gallien> R=localuser_maildir_filtered
> T=local_delivery_maildir_filtered
> 2026-02-16 12:14:24 1vrwYY-0000000028H-2mQ3 Completed

Ich finde im Vergleich der Paketversionen keine Änderung im Bereich exim; es 
ging da um fetchmail und dessen Verhalten zum lokalen smtp/exim.

Genaueres kann Jürgen sagen, der das Paket als Autor viel besser kennt, und 
es zu groß ist, dass ich hier sichere Aussagen treffen kann.

> Also wird im mail 1.17.2 das ocsp zwingend benötigt und ausgewertet,
> offensichtlich in mail 1.17 nicht.

Ich glaube nicht, dass dies dann den Abbruch verursacht.

Failed to open OCSP response file 
"/usr/local/ssl/crl/eis.senden.germany.ocsp": NULL
TLS error on connection from lenovo2lan.fritz.box [192.168.1.38] 
(SSL_accept): error:0A0000C7:SSL routines::peer did not return a certificate

Wenn ich mal auf die Schnelle tls aktiviere, bekomme ich auch den OCSP-
Fehler und dnn den Abbruch, dass sich der Client nicht selbst per Zertifikat 
ausweist.

Das war ein Versuch von TB unter LinuxMint, wo ich auch ganz schnell mal TB 
aufgesetzt habe.

TB kann doch Mails an den eis ausliefern, richtig?

Ohne Debug sehe ich da keine Chance, was wirklich dem exim nicht gefällt.

Ersetze in

/var/spool/exim/configure die log_selector-Zeile durch

log_selector = +all

restarte den Mailservice mit

service restart mail

und sende dann mal eine Mail aus TB und eine Statusmail aus der betroffenen 
VM und poste dann das ausführlich Log aus /var/spool/exim/mainlog.

> Wie bekomme ich das ocsp für selbstsignierte Zertifikate zum Laufen?

IMHO garnicht, IMHO war ein OCSP-Server auf eis noch nie vorgesehen.

Gibt es auf dem Mailserver in /var/certs/ssl/crl eine CRL für dein lokales 
Zertifikat.

-- 
Gruß Marcus
[eisfair-Team]

Mehr Informationen über die Mailingliste Eisfair