Rocksolid Light

groups  faq  privacy  How to post  login

Message-ID:  

Your fly might be open (but don't check it just now).

rocksolid / de.comm.software.mailserver / Re: [exim4] ungültiges Zertifikat akzeptieren

SubjectAuthor
* [exim4] ungültiges Zertifikat akzeptierenMichael Schütz
+- Re: [exim4] ungültiges Zertifikat akzeptierenTim Ritberg
+- Re: [exim4] ungültiges Zertifikat akzeptierenGoetz Schultz
`- Re: [exim4] ungültiges Zertifikat akzeptierenAndreas Metzler

1
Subject: [exim4] ungültiges Zertifikat akzeptieren
From: Michael Schütz
Newsgroups: de.comm.software.mailserver
Date: Fri, 15 Dec 2023 15:41 UTC
Path: i2pn2.org!i2pn.org!news.swapon.de!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail
From: der.schu...@web.de (Michael Schütz)
Newsgroups: de.comm.software.mailserver
Subject: [exim4] ungültiges Zertifikat akzeptieren
Date: Fri, 15 Dec 2023 16:41:35 +0100
Lines: 20
Message-ID: <fm8u4k-3bee.ln1@ardbeg.whisky.at.home>
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Trace: individual.net c/jIGhph5hGovs6MZoiL6g/2PDM7rm/XpB3D5M0QxqvHzFc3Ia
X-Orig-Path: not-for-mail
Cancel-Lock: sha1:o7RRA5PlEd0BFy70rDUzVIv8yhE= sha256:d+vYARaR7C2CFcyczKyBBbFQEBH5D94Hd615p9vllKc=
User-Agent: tin/2.6.2-20221225 ("Pittyvaich") (Linux/6.1.0-13-amd64 (x86_64))
View all headers

Hallo Gruppe,

bei mir läuft ein exim4, der eingelieferte eMails je nach Absendeadresse
weiterleitet.
Seit kurzem kann ich keine eMail mehr mit gmx-Adresse versenden. Eben
habe ich in meinem Client eine direkte Verbindung zu meinem gmx-Konto
eingerichtet und dabei festgestellt, dass das Zertifikat von gmx wohl
nicht gültig ist (für mail.gmx.net). Kann das jemand bestätigen?

Nun zu meiner eigentlichen Frage: Kann ich in der exim4-Konfiguration
irgendwo einstellen, dass das Zertifikat nichjt überprüft wird? Im
Mail-Client kann man auf "akzeptieren" klicken.

Danke,
Schultze

--
Computers are like air conditioners.
They stop working properly when opening windows.
Spiegel-Online

Subject: Re: [exim4] ungültiges Zertifikat akzeptieren
From: Tim Ritberg
Newsgroups: de.comm.software.mailserver
Date: Fri, 15 Dec 2023 22:45 UTC
References: 1
Path: i2pn2.org!i2pn.org!news.samoylyk.net!news.szaf.org!weretis.net!feeder8.news.weretis.net!reader5.news.weretis.net!news.tota-refugium.de!.POSTED!not-for-mail
From: tim...@server.invalid (Tim Ritberg)
Newsgroups: de.comm.software.mailserver
Subject: Re:_[exim4]_ungültiges_Zertifikat_akzeptieren
Date: Fri, 15 Dec 2023 23:45:00 +0100
Message-ID: <uliktc$4bl6$1@tota-refugium.de>
References: <fm8u4k-3bee.ln1@ardbeg.whisky.at.home>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Fri, 15 Dec 2023 22:45:00 -0000 (UTC)
Injection-Info: tota-refugium.de;
logging-data="143014"; mail-complaints-to="abuse@news.tota-refugium.de"
User-Agent: Mozilla Thunderbird
Cancel-Lock: sha1:vE8xBYibIvKxahRPlAJqC1cdoZ8=
Content-Language: de-DE
X-User-ID: eJwFwYEBwCAIA7CXYLZ1nAMi/59gwiXX2RAFDidLg3auOFVbFoZbhTbs1ck28recrzzAq3kioBEn
In-Reply-To: <fm8u4k-3bee.ln1@ardbeg.whisky.at.home>
View all headers

Am 15.12.23 um 16:41 schrieb Michael Schütz:
> Hallo Gruppe,
>
> bei mir läuft ein exim4, der eingelieferte eMails je nach Absendeadresse
> weiterleitet.
> Seit kurzem kann ich keine eMail mehr mit gmx-Adresse versenden. Eben
> habe ich in meinem Client eine direkte Verbindung zu meinem gmx-Konto
> eingerichtet und dabei festgestellt, dass das Zertifikat von gmx wohl
> nicht gültig ist (für mail.gmx.net). Kann das jemand bestätigen?
Nein, hast du es mal mit openssl getestet?
https://www.stevenrombauts.be/2018/12/test-smtp-with-telnet-or-openssl/

Ich mute her, dass die ein Zwischenzertifikat fehlt.

>
> Nun zu meiner eigentlichen Frage: Kann ich in der exim4-Konfiguration
> irgendwo einstellen, dass das Zertifikat nichjt überprüft wird? Im
> Mail-Client kann man auf "akzeptieren" klicken.
Ich benutzte nur Postfix. Aber eigentlich macht SMTP opportunistic TLS.
Also daher erstmal mit openssl testen.

Tim

Subject: Re: [exim4] ungültiges Zertifikat akzeptieren
From: Goetz Schultz
Newsgroups: de.comm.software.mailserver
Organization: A noiseless patient Spider
Date: Sat, 16 Dec 2023 11:24 UTC
References: 1
Path: i2pn2.org!i2pn.org!eternal-september.org!feeder3.eternal-september.org!news.eternal-september.org!.POSTED!not-for-mail
From: ng.expir...@goetz.co.uk (Goetz Schultz)
Newsgroups: de.comm.software.mailserver
Subject: Re:_[exim4]_ungültiges_Zertifikat_akzeptieren
Date: Sat, 16 Dec 2023 11:24:10 +0000
Organization: A noiseless patient Spider
Lines: 71
Message-ID: <ulk1ch$2ct13$1@dont-email.me>
References: <fm8u4k-3bee.ln1@ardbeg.whisky.at.home>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Sat, 16 Dec 2023 11:24:01 -0000 (UTC)
Injection-Info: dont-email.me; posting-host="2088175492f5b07103632900490fa1de";
logging-data="2520099"; mail-complaints-to="abuse@eternal-september.org"; posting-account="U2FsdGVkX1/Jo+kFipT4EHRaZUBrT39anBfMPVdRvBI="
User-Agent: Betterbird (Linux)
Cancel-Lock: sha1:GBc/JqKS4jpc2xU378ywdWbNKfM=
Content-Language: de-DE
In-Reply-To: <fm8u4k-3bee.ln1@ardbeg.whisky.at.home>
View all headers

On 15/12/2023 15:41, Michael Schütz wrote:
> Hallo Gruppe,
>
> bei mir läuft ein exim4, der eingelieferte eMails je nach Absendeadresse
> weiterleitet.
> Seit kurzem kann ich keine eMail mehr mit gmx-Adresse versenden. Eben
> habe ich in meinem Client eine direkte Verbindung zu meinem gmx-Konto
> eingerichtet und dabei festgestellt, dass das Zertifikat von gmx wohl
> nicht gültig ist (für mail.gmx.net). Kann das jemand bestätigen?
>
> Nun zu meiner eigentlichen Frage: Kann ich in der exim4-Konfiguration
> irgendwo einstellen, dass das Zertifikat nichjt überprüft wird? Im
> Mail-Client kann man auf "akzeptieren" klicken.
>
> Danke,
> Schultze
>

Hi,

falls es hilft:

Validity
Not Before: Mar 28 08:50:34 2023 GMT
Not After : Apr 1 23:59:59 2024 GMT
Subject: C=DE, O=1&1 Mail & Media GmbH, ST=Rheinland-Pfalz,
L=Montabaur, CN=mail.gmx.net

depth=2 C=DE, O=T-Systems Enterprise Services GmbH, OU=T-Systems Trust
Center, CN=T-TeleSec GlobalRoot Class 2
verify return:1
depth=1 C=DE, O=Deutsche Telekom Security GmbH, CN=Telekom Security
ServerID OV Class 2 CA
verify return:1
depth=0 C=DE, O=1&1 Mail & Media GmbH, ST=Rheinland-Pfalz, L=Montabaur,
CN=mail.gmx.net
verify return:1
---
Certificate chain
0 s:C=DE, O=1&1 Mail & Media GmbH, ST=Rheinland-Pfalz, L=Montabaur,
CN=mail.gmx.net
i:C=DE, O=Deutsche Telekom Security GmbH, CN=Telekom Security
ServerID OV Class 2 CA
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Mar 28 08:50:34 2023 GMT; NotAfter: Apr 1 23:59:59
2024 GMT
1 s:C=DE, O=Deutsche Telekom Security GmbH, CN=Telekom Security
ServerID OV Class 2 CA
i:C=DE, O=T-Systems Enterprise Services GmbH, OU=T-Systems Trust
Center, CN=T-TeleSec GlobalRoot Class 2
a:PKEY: rsaEncryption, 3072 (bit); sigalg: RSA-SHA256
v:NotBefore: Aug 2 09:16:44 2022 GMT; NotAfter: Aug 2 23:59:59
2027 GMT

Scheint also nicht am Datum zu liegen.

--

Cheers,
G.

Quis custodiet ipsos custodes?
---------------------------->8------------------------------
/"\
\ / ASCII Ribbon Campaign
X against HTML e-mail
/ \
---------------------------->8------------------------------

Subject: Re: [exim4] ungültiges Zertifikat akzeptieren
From: Andreas Metzler
Newsgroups: de.comm.software.mailserver
Date: Wed, 20 Dec 2023 16:55 UTC
References: 1
Path: i2pn2.org!i2pn.org!weretis.net!feeder8.news.weretis.net!reader5.news.weretis.net!news.solani.org!.POSTED!not-for-mail
From: ametz...@bebt.de (Andreas Metzler)
Newsgroups: de.comm.software.mailserver
Subject: Re: [exim4] ungültiges Zertifikat akzeptieren
Date: Wed, 20 Dec 2023 17:55:53 +0100
Message-ID: <ntib5k-d52.ln1@argenau.bebt.de>
References: <fm8u4k-3bee.ln1@ardbeg.whisky.at.home>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
Injection-Info: solani.org;
logging-data="198039"; mail-complaints-to="abuse@news.solani.org"
User-Agent: tin/2.6.3-20231201 ("Pittyvaich") (Linux/6.5.0-5-amd64 (x86_64))
Cancel-Lock: sha1:O1yc50vWRnd8syZaq7AaXJ5yEsc=
X-Face: &b=<Cp*r&PZn.xNlsF}#g*I1ZyC/E%^zD!$M57SU<0:[s0(~_{3{7AXn/`FO'z!!3`8'$Gr
.%Hy:^_C?B3^TrlQ\@xVQ&CuC>,INK@Jj\Yt<7362+W"u<cA.DpE=Q!;+*,Y)2
X-User-ID: eJwFwYEBwDAEBMCVSLxnHCX2H6F3uK7eNIcbFruXLfPlnEg6Bz2F0qent/hC4KEci0kxQf0lvBEM
X-GPG-Fingerprint: BCF7 1345 BE42 B5B8 1A57 EE09 1D33 9C65 8B8D 7663
View all headers

Michael Schütz <der.schultze@web.de> wrote:
> bei mir läuft ein exim4, der eingelieferte eMails je nach Absendeadresse
> weiterleitet.
> Seit kurzem kann ich keine eMail mehr mit gmx-Adresse versenden.

Hall,
Wie äußert sich das? Log file, debug?

> Eben
> habe ich in meinem Client eine direkte Verbindung zu meinem gmx-Konto
> eingerichtet und dabei festgestellt, dass das Zertifikat von gmx wohl
> nicht gültig ist (für mail.gmx.net). Kann das jemand bestätigen?

Nein, das sieht gut aus:
-----
ametzler@argenau:~$ gnutls-cli --starttls-proto smtp mail.gmx.net
Processed 140 CA certificate(s).
Resolving 'mail.gmx.net:smtp'...
Connecting to '212.227.17.168:25'...
- Certificate type: X.509
- Got a certificate list of 2 certificates.
- Certificate[0] info:
- subject `CN=mail.gmx.net,L=Montabaur,ST=Rheinland-Pfalz,O=1&1 Mail & Media GmbH,C=DE', issuer `CN=Telekom Security ServerID OV Class 2 CA,O=Deutsche Telekom Security GmbH,C=DE', serial 0x1b5d6f9f484b823db686f1390aa98203, RSA key 2048 bits, signed using RSA-SHA256, activated `2023-03-28 08:50:34 UTC', expires `2024-04-01 23:59:59 UTC', pin-sha256="5FXVx85COiy1MWCGxt37G98yIph+Y1EQcwF2Pm5gEyg="
Public Key ID:
sha1:fd726c4ab84a9be25a4cc96a95dc9e8110ecfe1a
sha256:e455d5c7ce423a2cb5316086c6ddfb1bdf3222987e6351107301763e6e601328
Public Key PIN:
pin-sha256:5FXVx85COiy1MWCGxt37G98yIph+Y1EQcwF2Pm5gEyg=

- Certificate[1] info:
- subject `CN=Telekom Security ServerID OV Class 2 CA,O=Deutsche Telekom Security GmbH,C=DE', issuer `CN=T-TeleSec GlobalRoot Class 2,OU=T-Systems Trust Center,O=T-Systems Enterprise Services GmbH,C=DE', serial 0x0e5d298915c40431a4e1c4ca488b8ea3, RSA key 3072 bits, signed using RSA-SHA256, activated `2022-08-02 09:16:44 UTC', expires `2027-08-02 23:59:59 UTC', pin-sha256="9K4RwKQgzd+IOm+vvVnHkFwvlV12A4LOuuuJ7/2Wo8Q="
- Status: The certificate is trusted.
[...]
-----

> Nun zu meiner eigentlichen Frage: Kann ich in der exim4-Konfiguration
> irgendwo einstellen, dass das Zertifikat nicht überprüft wird? Im
> Mail-Client kann man auf "akzeptieren" klicken.

Siehe Optionen tls_try_verify_hosts und tls_verify_hosts des SMTRP
transports.

lg Andreas
--
`What a good friend you are to him, Dr. Maturin. His other friends are
so grateful to you.'
`I sew his ears on from time to time, sure'

rocksolid / de.comm.software.mailserver / Re: [exim4] ungültiges Zertifikat akzeptieren

1
server_pubkey.txt

rocksolid light 0.9.136
clearnet tor