Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]


Groups > de.comm.software.mailserver > #6919 > unrolled thread

[exim4] ungültiges Zertifikat akzeptieren

Started byMichael Schütz <der.schultze@web.de>
First post2023-12-15 16:41 +0100
Last post2023-12-20 17:55 +0100
Articles 4 — 4 participants

Back to article view | Back to de.comm.software.mailserver


Contents

  [exim4] ungültiges Zertifikat akzeptieren Michael Schütz <der.schultze@web.de> - 2023-12-15 16:41 +0100
    Re: [exim4] ungültiges Zertifikat akzeptieren Tim Ritberg <tim@server.invalid> - 2023-12-15 23:45 +0100
    Re: [exim4] ungültiges Zertifikat akzeptieren Goetz Schultz <ng.expire1225@goetz.co.uk> - 2023-12-16 11:24 +0000
    Re: [exim4] ungültiges Zertifikat akzeptieren Andreas Metzler <ametzler@bebt.de> - 2023-12-20 17:55 +0100

#6919 — [exim4] ungültiges Zertifikat akzeptieren

FromMichael Schütz <der.schultze@web.de>
Date2023-12-15 16:41 +0100
Subject[exim4] ungültiges Zertifikat akzeptieren
Message-ID<fm8u4k-3bee.ln1@ardbeg.whisky.at.home>
Hallo Gruppe,

bei mir läuft ein exim4, der eingelieferte eMails je nach Absendeadresse
weiterleitet.
Seit kurzem kann ich keine eMail mehr mit gmx-Adresse versenden. Eben
habe ich in meinem Client eine direkte Verbindung zu meinem gmx-Konto
eingerichtet und dabei festgestellt, dass das Zertifikat von gmx wohl
nicht gültig ist (für mail.gmx.net). Kann das jemand bestätigen?

Nun zu meiner eigentlichen Frage: Kann ich in der exim4-Konfiguration
irgendwo einstellen, dass das Zertifikat nichjt überprüft wird? Im
Mail-Client kann man auf "akzeptieren" klicken.

Danke,
Schultze

-- 
Computers are like air conditioners.
They stop working properly when opening windows.
                                                        Spiegel-Online

[toc] | [next] | [standalone]


#6920

FromTim Ritberg <tim@server.invalid>
Date2023-12-15 23:45 +0100
Message-ID<uliktc$4bl6$1@tota-refugium.de>
In reply to#6919
Am 15.12.23 um 16:41 schrieb Michael Schütz:
> Hallo Gruppe,
> 
> bei mir läuft ein exim4, der eingelieferte eMails je nach Absendeadresse
> weiterleitet.
> Seit kurzem kann ich keine eMail mehr mit gmx-Adresse versenden. Eben
> habe ich in meinem Client eine direkte Verbindung zu meinem gmx-Konto
> eingerichtet und dabei festgestellt, dass das Zertifikat von gmx wohl
> nicht gültig ist (für mail.gmx.net). Kann das jemand bestätigen?
Nein, hast du es mal mit openssl getestet?
https://www.stevenrombauts.be/2018/12/test-smtp-with-telnet-or-openssl/

Ich mute her, dass die ein Zwischenzertifikat fehlt.


> 
> Nun zu meiner eigentlichen Frage: Kann ich in der exim4-Konfiguration
> irgendwo einstellen, dass das Zertifikat nichjt überprüft wird? Im
> Mail-Client kann man auf "akzeptieren" klicken.
Ich benutzte nur Postfix. Aber eigentlich macht SMTP opportunistic TLS.
Also daher erstmal mit openssl testen.

Tim

[toc] | [prev] | [next] | [standalone]


#6921

FromGoetz Schultz <ng.expire1225@goetz.co.uk>
Date2023-12-16 11:24 +0000
Message-ID<ulk1ch$2ct13$1@dont-email.me>
In reply to#6919
On 15/12/2023 15:41, Michael Schütz wrote:
> Hallo Gruppe,
> 
> bei mir läuft ein exim4, der eingelieferte eMails je nach Absendeadresse
> weiterleitet.
> Seit kurzem kann ich keine eMail mehr mit gmx-Adresse versenden. Eben
> habe ich in meinem Client eine direkte Verbindung zu meinem gmx-Konto
> eingerichtet und dabei festgestellt, dass das Zertifikat von gmx wohl
> nicht gültig ist (für mail.gmx.net). Kann das jemand bestätigen?
> 
> Nun zu meiner eigentlichen Frage: Kann ich in der exim4-Konfiguration
> irgendwo einstellen, dass das Zertifikat nichjt überprüft wird? Im
> Mail-Client kann man auf "akzeptieren" klicken.
> 
> Danke,
> Schultze
> 

Hi,

falls es hilft:

         Validity
             Not Before: Mar 28 08:50:34 2023 GMT
             Not After : Apr  1 23:59:59 2024 GMT
         Subject: C=DE, O=1&1 Mail & Media GmbH, ST=Rheinland-Pfalz, 
L=Montabaur, CN=mail.gmx.net


depth=2 C=DE, O=T-Systems Enterprise Services GmbH, OU=T-Systems Trust 
Center, CN=T-TeleSec GlobalRoot Class 2
verify return:1
depth=1 C=DE, O=Deutsche Telekom Security GmbH, CN=Telekom Security 
ServerID OV Class 2 CA
verify return:1
depth=0 C=DE, O=1&1 Mail & Media GmbH, ST=Rheinland-Pfalz, L=Montabaur, 
CN=mail.gmx.net
verify return:1
---
Certificate chain
  0 s:C=DE, O=1&1 Mail & Media GmbH, ST=Rheinland-Pfalz, L=Montabaur, 
CN=mail.gmx.net
    i:C=DE, O=Deutsche Telekom Security GmbH, CN=Telekom Security 
ServerID OV Class 2 CA
    a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
    v:NotBefore: Mar 28 08:50:34 2023 GMT; NotAfter: Apr  1 23:59:59 
2024 GMT
  1 s:C=DE, O=Deutsche Telekom Security GmbH, CN=Telekom Security 
ServerID OV Class 2 CA
    i:C=DE, O=T-Systems Enterprise Services GmbH, OU=T-Systems Trust 
Center, CN=T-TeleSec GlobalRoot Class 2
    a:PKEY: rsaEncryption, 3072 (bit); sigalg: RSA-SHA256
    v:NotBefore: Aug  2 09:16:44 2022 GMT; NotAfter: Aug  2 23:59:59 
2027 GMT


Scheint also nicht am Datum zu liegen.

-- 

Cheers,
    G.

Quis custodiet ipsos custodes?
---------------------------->8------------------------------
   /"\
   \ /  ASCII Ribbon Campaign
    X   against HTML e-mail
   / \
---------------------------->8------------------------------

[toc] | [prev] | [next] | [standalone]


#6924

FromAndreas Metzler <ametzler@bebt.de>
Date2023-12-20 17:55 +0100
Message-ID<ntib5k-d52.ln1@argenau.bebt.de>
In reply to#6919
Michael Schütz <der.schultze@web.de> wrote:
> bei mir läuft ein exim4, der eingelieferte eMails je nach Absendeadresse
> weiterleitet.
> Seit kurzem kann ich keine eMail mehr mit gmx-Adresse versenden.

Hall,
Wie äußert sich das? Log file, debug?

> Eben
> habe ich in meinem Client eine direkte Verbindung zu meinem gmx-Konto
> eingerichtet und dabei festgestellt, dass das Zertifikat von gmx wohl
> nicht gültig ist (für mail.gmx.net). Kann das jemand bestätigen?

Nein, das sieht gut aus:
-----
ametzler@argenau:~$ gnutls-cli --starttls-proto smtp  mail.gmx.net
Processed 140 CA certificate(s).
Resolving 'mail.gmx.net:smtp'...
Connecting to '212.227.17.168:25'...
- Certificate type: X.509
- Got a certificate list of 2 certificates.
- Certificate[0] info:
 - subject `CN=mail.gmx.net,L=Montabaur,ST=Rheinland-Pfalz,O=1&1 Mail & Media GmbH,C=DE', issuer `CN=Telekom Security ServerID OV Class 2 CA,O=Deutsche Telekom Security GmbH,C=DE', serial 0x1b5d6f9f484b823db686f1390aa98203, RSA key 2048 bits, signed using RSA-SHA256, activated `2023-03-28 08:50:34 UTC', expires `2024-04-01 23:59:59 UTC', pin-sha256="5FXVx85COiy1MWCGxt37G98yIph+Y1EQcwF2Pm5gEyg="
        Public Key ID:
                sha1:fd726c4ab84a9be25a4cc96a95dc9e8110ecfe1a
                sha256:e455d5c7ce423a2cb5316086c6ddfb1bdf3222987e6351107301763e6e601328
        Public Key PIN:
                pin-sha256:5FXVx85COiy1MWCGxt37G98yIph+Y1EQcwF2Pm5gEyg=

- Certificate[1] info:
 - subject `CN=Telekom Security ServerID OV Class 2 CA,O=Deutsche Telekom Security GmbH,C=DE', issuer `CN=T-TeleSec GlobalRoot Class 2,OU=T-Systems Trust Center,O=T-Systems Enterprise Services GmbH,C=DE', serial 0x0e5d298915c40431a4e1c4ca488b8ea3, RSA key 3072 bits, signed using RSA-SHA256, activated `2022-08-02 09:16:44 UTC', expires `2027-08-02 23:59:59 UTC', pin-sha256="9K4RwKQgzd+IOm+vvVnHkFwvlV12A4LOuuuJ7/2Wo8Q="
- Status: The certificate is trusted.
[...]
-----

> Nun zu meiner eigentlichen Frage: Kann ich in der exim4-Konfiguration
> irgendwo einstellen, dass das Zertifikat nicht überprüft wird? Im
> Mail-Client kann man auf "akzeptieren" klicken.

Siehe Optionen tls_try_verify_hosts und tls_verify_hosts des SMTRP
transports.

lg Andreas
-- 
`What a good friend you are to him, Dr. Maturin. His other friends are
so grateful to you.'
`I sew his ears on from time to time, sure'

[toc] | [prev] | [standalone]


Back to top | Article view | de.comm.software.mailserver


csiph-web