[Exim-users] Exim 4.86, SSL verify error

[Golub Mikhail]

Доброго времени суток.

Переходил ли кто  на 4.86?
Я перешел и вернулся на 4.85 из-за ошибок SSL в логе.
И крешился иногда при отправке почты (в рассылке было).

Второй вопрос.
Как отключить вывод в лог всех ошибок "SSL verify error"?
Не нашел :(

-- 
Голуб Михаил

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86, SSL verify error

[dawnshade]

 шо, опять? вам же в прошлый раз все верно написали. надо использовать 
tls_try_verify_hosts


remote_smtp:
driver = smtp
tls_try_verify_hosts = :


в результате строчка лога приобретает вид

2015-08-20 15:25:14 1ZSOu7-000FXN-Cc <= suit...@xpressus.emsmtp.com 
H=uspmta197144.emsmtp.com [217.175.197.144]  P=esmtps 
X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256  CV=no S=197900 
id=0.0.c5.6b8.1d0db41915f96a...@uspmta197144.emsmtp.com
>Четверг, 20 августа 2015, 15:22 +03:00 от Golub Mikhail :
>
>Доброго времени суток.
>
>Переходил ли кто  на 4.86?
>Я перешел и вернулся на 4.85 из-за ошибок SSL в логе.
>И крешился иногда при отправке почты (в рассылке было).
>
>Второй вопрос.
>Как отключить вывод в лог всех ошибок "SSL verify error"?
>Не нашел :(
>
>-- 
>Голуб Михаил
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86, SSL verify error

[Golub Mikhail]

А такого небыло?
«smtp transport process returned non-zero status0x000b: terminated by 
signal 11»
 
Был вопрос в рассылке недавно.
 
 
 
From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf Of 
dawnshade
Sent: Thursday, August 20, 2015 3:27 PM
To: Exim MTA на русском
Subject: Re: [Exim-users] Exim 4.86, SSL verify error
 
шо, опять? вам же в прошлый раз все верно написали. надо использовать 
tls_try_verify_hosts


remote_smtp:
driver = smtp
tls_try_verify_hosts = :


в результате строчка лога приобретает вид
 
2015-08-20 15:25:14 1ZSOu7-000FXN-Cc <= suit...@xpressus.emsmtp.com 
H=uspmta197144.emsmtp.com [217.175.197.144] P=esmtps 
X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no S=197900 
id=0.0.c5.6b8.1d0db41915f96a...@uspmta197144.emsmtp.com
 
Четверг, 20 августа 2015, 15:22 +03:00 от Golub Mikhail :
Доброго времени суток.

Переходил ли кто на 4.86?
Я перешел и вернулся на 4.85 из-за ошибок SSL в логе.
И крешился иногда при отправке почты (в рассылке было).

Второй вопрос.
Как отключить вывод в лог всех ошибок "SSL verify error"?
Не нашел :(

-- 
Голуб Михаил

___
Exim-users mailing list
Exim-users@mailground.net 
 
http://mailground.net/mailman/listinfo/exim-users
 
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86, SSL verify error

[dawnshade]

нет. апгрейдлися вчера, дампов и корок нет. выб поглядели ту кору, где оно 
падает, этож не сложно


>Четверг, 20 августа 2015, 15:33 +03:00 от Golub Mikhail :
>
>А такого небыло?
>«smtp transport process returned non-zero status      0x000b: terminated 
>by signal 11»
> 
>Был вопрос в рассылке недавно.
> 
> 
> 
>From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf Of 
>dawnshade
>Sent: Thursday, August 20, 2015 3:27 PM
>To: Exim MTA на русском
>Subject: Re: [Exim-users] Exim 4.86, SSL verify error
> 
>шо, опять? вам же в прошлый раз все верно написали. надо использовать 
>tls_try_verify_hosts
>
>remote_smtp:
>driver = smtp
>tls_try_verify_hosts = :
>
>
>в результате строчка лога приобретает вид
> 
>2015-08-20 15:25:14 1ZSOu7-000FXN-Cc <= suit...@xpressus.emsmtp.com 
>H=uspmta197144.emsmtp.com [217.175.197.144] P=esmtps 
>X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no S=197900 
>id=0.0.c5.6b8.1d0db41915f96a...@uspmta197144.emsmtp.com
>> 
>>Четверг, 20 августа 2015, 15:22 +03:00 от Golub Mikhail < eximl...@gmn.org.ua 
>>>:
>>Доброго времени суток.
>>
>>Переходил ли кто на 4.86?
>>Я перешел и вернулся на 4.85 из-за ошибок SSL в логе.
>>И крешился иногда при отправке почты (в рассылке было).
>>
>>Второй вопрос.
>>Как отключить вывод в лог всех ошибок "SSL verify error"?
>>Не нашел :(
>>
>>-- 
>>Голуб Михаил
>>
>>___
>>Exim-users mailing list
>>Exim-users@mailground.net
>>http://mailground.net/mailman/listinfo/exim-users
> 
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] signal 11

[Lena]

> дампов и корок нет. выб поглядели ту кору, где оно падает, этож не сложно

По умолчанию при крэше exim не сохраняется coredump.
Недавно в англоязычной exim-users были жалобы на signal 11:
https://lists.exim.org/lurker/message/20150816.204206.150bc9eb.en.html
https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html

> Переходил ли кто  на 4.86?

3 недели назад, signal 11 в mainlog нет, но трафик маленький. FreeBSD 6 i386.

А сообщения об ошибках certificate verification в логе мне не мешают.
Это только предупреждения, письма проходят нормально.
В FreeBSD если exim использует openssl, то количество таких сообщений
можно уменьшить, установив порт ca_root_nss (если openssl не из портов, а из
base, то make config поставить галочку "add symlink to /etc/ssl/cert.pem").

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] signal 11

[Golub Mikhail]

> -Original Message-
> From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf
> Of l...@lena.kiev.ua
> Sent: Thursday, August 20, 2015 4:12 PM
> To: exim-users@mailground.net
> Subject: [Exim-users] signal 11
> 
> > дампов и корок нет. выб поглядели ту кору, где оно падает, этож не
> сложно
> 
> По умолчанию при крэше exim не сохраняется coredump.
> Недавно в англоязычной exim-users были жалобы на signal 11:
> https://lists.exim.org/lurker/message/20150816.204206.150bc9eb.en.html
> https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html

Спасибо, почитаем.

> 
> > Переходил ли кто  на 4.86?
> 
> 3 недели назад, signal 11 в mainlog нет, но трафик маленький. FreeBSD 6
> i386.
> 
> А сообщения об ошибках certificate verification в логе мне не мешают.
> Это только предупреждения, письма проходят нормально.
> В FreeBSD если exim использует openssl, то количество таких сообщений
> можно уменьшить, установив порт ca_root_nss (если openssl не из
> портов, а из
> base, то make config поставить галочку "add symlink to /etc/ssl/cert.pem").

Да, порт ca_root_nss установлен, но без этой опции. Добавил.

> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] signal 11

[dawnshade]

 дело не в экзиме, а в дефолтных настройках ос - не сохранять суидные корки.

kern.sugid_coredump:0

в лынуксе же мелкий улимит и не прописанный путь для оных

>Четверг, 20 августа 2015, 16:12 +03:00 от l...@lena.kiev.ua:
>
>> дампов и корок нет. выб поглядели ту кору, где оно падает, этож не сложно
>
>По умолчанию при крэше exim не сохраняется coredump.
>Недавно в англоязычной exim-users были жалобы на signal 11:
>https://lists.exim.org/lurker/message/20150816.204206.150bc9eb.en.html
>https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html
>
>> Переходил ли кто  на 4.86?
>
>3 недели назад, signal 11 в mainlog нет, но трафик маленький. FreeBSD 6 i386.
>
>А сообщения об ошибках certificate verification в логе мне не мешают.
>Это только предупреждения, письма проходят нормально.
>В FreeBSD если exim использует openssl, то количество таких сообщений
>можно уменьшить, установив порт ca_root_nss (если openssl не из портов, а из
>base, то make config поставить галочку "add symlink to /etc/ssl/cert.pem").
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] signal 11

[Vsevolod Stakhov]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA256

On 20/08/2015 14:12, l...@lena.kiev.ua wrote:
>> дампов и корок нет. выб поглядели ту кору, где оно падает, этож
>> не сложно
> 
> По умолчанию при крэше exim не сохраняется coredump. Недавно в
> англоязычной exim-users были жалобы на signal 11: 
> https://lists.exim.org/lurker/message/20150816.204206.150bc9eb.en.html
>
> 
https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html
> 
>> Переходил ли кто  на 4.86?
> 
> 3 недели назад, signal 11 в mainlog нет, но трафик маленький.
> FreeBSD 6 i386.
> 
> А сообщения об ошибках certificate verification в логе мне не
> мешают. Это только предупреждения, письма проходят нормально. В
> FreeBSD если exim использует openssl, то количество таких
> сообщений можно уменьшить, установив порт ca_root_nss (если openssl
> не из портов, а из base, то make config поставить галочку "add
> symlink to /etc/ssl/cert.pem").

Возможно, следует добавить следующие две вещи в порт mail/exim:

1) зависимость от openssl должна быть жестко от openssl port, а не от
openssl base
2) при включении зависимости от openssl включать зависимость от
ca_root_nss

Патч для исправления SIGSEGV я включу, как только будет вкоммичено
решение для bug 1671 [1]

[1]: https://bugs.exim.org/show_bug.cgi?id=1671

- -- 
Vsevolod Stakhov
-BEGIN PGP SIGNATURE-
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=LLqW
-END PGP SIGNATURE-

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86, SSL verify error

[Victor Ustugov]

Golub Mikhail wrote:
> Доброго времени суток.

доброго

> Переходил ли кто  на 4.86?

я перевел около полутора десятков серверов

> Я перешел и вернулся на 4.85 из-за ошибок SSL в логе.
> И крешился иногда при отправке почты (в рассылке было).

крешей я не наблюдал


> Второй вопрос.
> Как отключить вывод в лог всех ошибок "SSL verify error"?
> Не нашел :(

tls_try_verify_hosts = :

а с первого раза поверить было нельзя?

p. s. я хотел дать линк на своё письмо в веб архиве рассылки, но у нас
там на http://mailground.net/mailman/listinfo/exim-users с чарсетами
жуть какая-то твориться (служебные сообщения на странице в UTF-8, а
данные о листе в KOI8-R), а на
http://mailground.net/pipermail/exim-users/ вообще ошибка 403

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Exim 4.86, SSL verify error

[Victor Ustugov]

Vsevolod Stakhov wrote:
> On 20/08/2015 14:12, l...@lena.kiev.ua wrote:
>>> дампов и корок нет. выб поглядели ту кору, где оно падает, этож
>>> не сложно
> 
>> По умолчанию при крэше exim не сохраняется coredump. Недавно в
>> англоязычной exim-users были жалобы на signal 11: 
>> https://lists.exim.org/lurker/message/20150816.204206.150bc9eb.en.html
> 
> 
> https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html
> 
>>> Переходил ли кто  на 4.86?
> 
>> 3 недели назад, signal 11 в mainlog нет, но трафик маленький.
>> FreeBSD 6 i386.
> 
>> А сообщения об ошибках certificate verification в логе мне не
>> мешают. Это только предупреждения, письма проходят нормально. В
>> FreeBSD если exim использует openssl, то количество таких
>> сообщений можно уменьшить, установив порт ca_root_nss (если openssl
>> не из портов, а из base, то make config поставить галочку "add
>> symlink to /etc/ssl/cert.pem").
> 
> Возможно, следует добавить следующие две вещи в порт mail/exim:
> 
> 1) зависимость от openssl должна быть жестко от openssl port, а не от
> openssl base

Сева, а может лучше дать возможность выбора использования OpenSSL из
порта или из базовой системы.

понятное дело, что в свете событий последнего года или полутора лучше
использовать портовый. но может у кого-то будут объективные причины
использовать базовый OpenSSL. а если exim по зависимостям потянет и
портовый OpenSSL, то куча остальных портов при сборке будут использовать
именно его.

> 2) при включении зависимости от openssl включать зависимость от
> ca_root_nss

а вот это хорошая идея. галка "Add symlink to /etc/ssl/cert.pem" вроде
там по дефолту стоит. так что в этом случае предупреждений о валидных
сертификатах уже не будет в логах.

но даже у крупных почтовых систем, даже при использовании сертификатов,
заверенных центрами сертификации, могут быть предупреждения в логах.

на примере домена narod.ru

# host -t mx narod.ru
narod.ru mail is handled by 10 mx2.yandex.ru.
narod.ru mail is handled by 10 mx1.yandex.ru.
narod.ru mail is handled by 10 mx3.yandex.ru.


смотрим Common Name сертификата на mx1.yandex.ru:


# true | openssl s_client -connect mx1.yandex.ru:25 -servername
mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout -subject

subject= /C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russian
Federation/CN=mx.yandex.ru/emailAddress=p...@yandex-team.ru


а в CN указан не mx1.yandex.ru, а mx.yandex.ru

смотрим синонимы:


# true | openssl s_client -connect mx1.yandex.ru:25 -servername
mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout -text |
grep -A 1 'Subject Alternative Name'

X509v3 Subject Alternative Name:
DNS:mx.yandex.ru, DNS:mx.yandex.net


тут есть mx.yandex.ru, mx.yandex.net, но нет mx1.yandex.ru


соответственно, в логах exim'а будут предупреждения о несоответствии
имени хоста MX'а и CN/Alternative Name сертификата: "SSL verify error:
certificate name mismatch".


у rambler.ru тоже самое - на основном MX'е imx1.rambler.ru используется
сертификат, выписанный для mail.rambler.ru:


# true | openssl s_client -connect imx1.rambler.ru:25 -servername
imx1.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout -subject

subject= /C=RU/ST=Moscow/L=Moscow/O=Rambler Internet Holdings,
LLC/CN=mail.rambler.ru


список синонимов там выше крыши, но imx1.rambler.ru среди них нет:


# true | openssl s_client -connect mail.rambler.ru:25 -servername
mail.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout -text |
grep -A 1 'Subject Alternative Name'

X509v3 Subject Alternative Name:
DNS:pop.rambler.ru, DNS:imap.rambler.ru,
DNS:smtp.rambler.ru, DNS:pop3.rambler.ru, DNS:mxf2.rambler.ru,
DNS:mxf1.rambler.ru, DNS:mail.rambler.ru


так что предупреждения в логах мы будем ещё долго вылавливать

кстати, ты товарищей из rambler.ru по старой памяти не хочешь подергать
по этому вопросу?


> Патч для исправления SIGSEGV я включу, как только будет вкоммичено
> решение для bug 1671 [1]
> 
> [1]: https://bugs.exim.org/show_bug.cgi?id=1671
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] signal 11

[Alexander Sheiko]

Hello Vsevolod,

Thursday, August 20, 2015, 4:25:49 PM, you wrote:

VS> Возможно, следует добавить следующие две вещи в порт mail/exim:

VS> 1) зависимость от openssl должна быть жестко от openssl port, а не от
VS> openssl base

Так  делать  нельзя,  пользователь должен сам выбирать с каким SSL собирать: из 
базы,  OpenSSL,  LibreSSL  (если  поддерживает  нужные  функции) и т.д.

См. ports/Mk/bsd.openssl.mk

-- 
WBR, Alexander Sheiko


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86, SSL verify error

[Vsevolod Stakhov]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA256

On 20/08/2015 15:08, Victor Ustugov wrote:
> Vsevolod Stakhov wrote:
>> On 20/08/2015 14:12, l...@lena.kiev.ua wrote:
 дампов и корок нет. выб поглядели ту кору, где оно падает,
 этож не сложно
>> 
>>> По умолчанию при крэше exim не сохраняется coredump. Недавно в 
>>> англоязычной exim-users были жалобы на signal 11: 
>>> https://lists.exim.org/lurker/message/20150816.204206.150bc9eb.en.html
>>
>>
>>
>>> 
https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html
>> 
 Переходил ли кто  на 4.86?
>> 
>>> 3 недели назад, signal 11 в mainlog нет, но трафик маленький. 
>>> FreeBSD 6 i386.
>> 
>>> А сообщения об ошибках certificate verification в логе мне не 
>>> мешают. Это только предупреждения, письма проходят нормально.
>>> В FreeBSD если exim использует openssl, то количество таких 
>>> сообщений можно уменьшить, установив порт ca_root_nss (если
>>> openssl не из портов, а из base, то make config поставить
>>> галочку "add symlink to /etc/ssl/cert.pem").
>> 
>> Возможно, следует добавить следующие две вещи в порт mail/exim:
>> 
>> 1) зависимость от openssl должна быть жестко от openssl port, а
>> не от openssl base
> 
> Сева, а может лучше дать возможность выбора использования OpenSSL
> из порта или из базовой системы.

Я считаю данную возможность, как и наличие openssl в базе - огромной
ошибкой, из-за которой мы имеем огромное количество дырявых систем,
которые не были бы дырявыми в случае openssl из портов/пакетов. Тут
надежда только на pkg для base и на более вменяемую политику security
updates.

> понятное дело, что в свете событий последнего года или полутора
> лучше использовать портовый.

Учитывая 0day статус всех этих уязвимостей а также тот факт, что новые
дыры вносятся тоже постоянно, единственный вариант - это quaterly
branches пакетов и немедленная реакция security officers на все
найденные проблемы.

> но может у кого-то будут объективные причины использовать базовый
> OpenSSL. а если exim по зависимостям потянет и портовый OpenSSL, то
> куча остальных портов при сборке будут использовать именно его.

Никаких *объективных* причин на это нет. К счастью, наши re@ и
остальное коммьюнити уже согласны с этой точкой зрения (по поводу
выноса openssl из base).

>> 2) при включении зависимости от openssl включать зависимость от 
>> ca_root_nss
> 
> а вот это хорошая идея. галка "Add symlink to /etc/ssl/cert.pem"
> вроде там по дефолту стоит. так что в этом случае предупреждений о
> валидных сертификатах уже не будет в логах.
> 
> но даже у крупных почтовых систем, даже при использовании
> сертификатов, заверенных центрами сертификации, могут быть
> предупреждения в логах.

Но имя должно проверяться через DANE! Проверка сертификата через
trusted CA - это всего лишь костыль для тех, у кого сломан DNSSEC.

> на примере домена narod.ru
> 
> # host -t mx narod.ru narod.ru mail is handled by 10
> mx2.yandex.ru. narod.ru mail is handled by 10 mx1.yandex.ru. 
> narod.ru mail is handled by 10 mx3.yandex.ru.
> 
> 
> смотрим Common Name сертификата на mx1.yandex.ru:
> 
> 
> # true | openssl s_client -connect mx1.yandex.ru:25 -servername 
> mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout
> -subject
> 
> subject= /C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russian 
> Federation/CN=mx.yandex.ru/emailAddress=p...@yandex-team.ru
> 
> 
> а в CN указан не mx1.yandex.ru, а mx.yandex.ru
> 
> смотрим синонимы:
> 
> 
> # true | openssl s_client -connect mx1.yandex.ru:25 -servername 
> mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout
> -text | grep -A 1 'Subject Alternative Name'
> 
> X509v3 Subject Alternative Name: DNS:mx.yandex.ru,
> DNS:mx.yandex.net
> 
> 
> тут есть mx.yandex.ru, mx.yandex.net, но нет mx1.yandex.ru
> 
> 
> соответственно, в логах exim'а будут предупреждения о
> несоответствии имени хоста MX'а и CN/Alternative Name сертификата:
> "SSL verify error: certificate name mismatch".
> 
> 
> у rambler.ru тоже самое - на основном MX'е imx1.rambler.ru
> используется сертификат, выписанный для mail.rambler.ru:
> 
> 
> # true | openssl s_client -connect imx1.rambler.ru:25 -servername 
> imx1.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout
> -subject
> 
> subject= /C=RU/ST=Moscow/L=Moscow/O=Rambler Internet Holdings, 
> LLC/CN=mail.rambler.ru
> 
> 
> список синонимов там выше крыши, но imx1.rambler.ru среди них нет:
> 
> 
> # true | openssl s_client -connect mail.rambler.ru:25 -servername 
> mail.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout
> -text | grep -A 1 'Subject Alternative Name'
> 
> X509v3 Subject Alternative Name: DNS:pop.rambler.ru,
> DNS:imap.rambler.ru, DNS:smtp.rambler.ru, DNS:pop3.rambler.ru,
> DNS:mxf2.rambler.ru, DNS:mxf1.rambler.ru, DNS:mail.rambler.ru
> 
> 
> так что предупреждения в логах мы будем ещё долго вылавливать
> 
> кстати, ты товарищей из rambler.ru по старой памяти не хочешь
> подергать по этому вопросу?

Я могу сказать, но шансы, что они перевыпишут свой сертификат 

Re: [Exim-users] signal 11

[Vsevolod Stakhov]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA256

On 20/08/2015 19:04, Alexander Sheiko wrote:
> Hello Vsevolod,
> 
> Thursday, August 20, 2015, 4:25:49 PM, you wrote:
> 
> VS> Возможно, следует добавить следующие две вещи в порт
> mail/exim:
> 
> VS> 1) зависимость от openssl должна быть жестко от openssl port, а
> не от VS> openssl base
> 
> Так  делать  нельзя,  пользователь должен сам выбирать с каким SSL
> собирать: из базы,  OpenSSL,  LibreSSL  (если  поддерживает  нужные
> функции) и т.д.
> 
> См. ports/Mk/bsd.openssl.mk
> 

Как разработчик портов и пакетов, я считаю bsd.openssl.mk одним из
самых ужасных кусков говнокода во всей MK системе. Особенно радует его
несовместимость с bsd.port.post/pre.mk.

Да, пользователю надо давать возможность выбора SSL библиотеки:
openssl, libressl, boringssl. Но openssl в базе быть НЕ должно.

- -- 
Vsevolod Stakhov
-BEGIN PGP SIGNATURE-

iQIcBAEBCAAGBQJV1k/WAAoJEAdke2eQCBQ3fdIP/jQw34KmJHsWHlFmFUDJr5Pi
t+aZjtVw8HueNmp/p599kTnGFeYApO6WGY9xL11PvV3IxUUQCL1lfBHmh6LUHfP1
c2B2i52h6HHs7UrMltyuGylS4v4SdALLr9RZx8Q0C2CQZaw0adlCJi5uYLuTzvf3
qcck6lMH8jIn8mNKo5IOCsHtKmZqmwYXgAjF39jwghL/HaRPbU60U2JAOH9iIezV
pYPohiajwrBTuoFbPHMzwyUOZycRg3XVefHghFpM7XEVFFwH5IN6EyVD7mPx7i6n
7atKqMDGHNuIsl99wIxBVb33dzNiphf9Huv9p95KEQ/VMI3ImsUJ5EM0GAUHQ84W
YsldakeYv2VE82Y3LjeXueXAJUhPHsNzIZVRJiDf279dgooaJkLl2oilUTQ1vBoQ
M+wSCsLD/AmKFtvWURfL8B3Mk4odhnfu59ltIVHzsmw1yez3LB0szS9wUfLOQ343
KUD8LQbqIrujn2/1N2u2PZskgefNnQwlZB7d2AzvIsPA84HLIQ9YGqTb2ofeLh4p
DAMJv9hpuCqRjyZ6YoqL4/N8YkReWrFq1HoBt58zbupKwCyZzXI+bWVw40iJsr3c
kmWQEALiwmSC93Ahefzt4Gv32TH8LMwREnZZ8jxaYr3xkN7gDID0R5Lq1+2CulK1
1kupvqJClRoMBxckERXO
=drk1
-END PGP SIGNATURE-

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86, SSL verify error

[Victor Ustugov]

Vsevolod Stakhov wrote:

>>> Возможно, следует добавить следующие две вещи в порт mail/exim:
>>>
>>> 1) зависимость от openssl должна быть жестко от openssl port, а
>>> не от openssl base
> 
>> Сева, а может лучше дать возможность выбора использования OpenSSL
>> из порта или из базовой системы.
> 
> Я считаю данную возможность, как и наличие openssl в базе - огромной
> ошибкой, из-за которой мы имеем огромное количество дырявых систем,
> которые не были бы дырявыми в случае openssl из портов/пакетов. Тут
> надежда только на pkg для base и на более вменяемую политику security
> updates.

так если сейчас кто-то не обновляет базовую систему (и вместе с ней
базовый OpenSSL) в случае необходимости, так он точно также в случае
появления уязвимостей может плевать на ругань pkg audit и не обновлять
портовый OpenSSL.

я не ратую за использование базового OpenSSL (у самого уже везде
портовый используется, но не из-за exim), но может не надо так прямо с
плеча рулить?

>> понятное дело, что в свете событий последнего года или полутора
>> лучше использовать портовый.
> 
> Учитывая 0day статус всех этих уязвимостей а также тот факт, что новые
> дыры вносятся тоже постоянно, единственный вариант - это quaterly
> branches пакетов и немедленная реакция security officers на все
> найденные проблемы.

так на проблемы в любом случае нужно реагировать, будь то проблемы с
базовой системой, ядром или пакетами.

>> но может у кого-то будут объективные причины использовать базовый
>> OpenSSL. а если exim по зависимостям потянет и портовый OpenSSL, то
>> куча остальных портов при сборке будут использовать именно его.
> 
> Никаких *объективных* причин на это нет. К счастью, наши re@ и
> остальное коммьюнити уже согласны с этой точкой зрения (по поводу
> выноса openssl из base).

ну... если вы там у себя уже все решили, то может оно и к лучшему...

>>> 2) при включении зависимости от openssl включать зависимость от 
>>> ca_root_nss
> 
>> а вот это хорошая идея. галка "Add symlink to /etc/ssl/cert.pem"
>> вроде там по дефолту стоит. так что в этом случае предупреждений о
>> валидных сертификатах уже не будет в логах.
> 
>> но даже у крупных почтовых систем, даже при использовании
>> сертификатов, заверенных центрами сертификации, могут быть
>> предупреждения в логах.
> 
> Но имя должно проверяться через DANE! Проверка сертификата через
> trusted CA - это всего лишь костыль для тех, у кого сломан DNSSEC.
> 
>> на примере домена narod.ru
> 
>> # host -t mx narod.ru narod.ru mail is handled by 10
>> mx2.yandex.ru. narod.ru mail is handled by 10 mx1.yandex.ru. 
>> narod.ru mail is handled by 10 mx3.yandex.ru.
> 
> 
>> смотрим Common Name сертификата на mx1.yandex.ru:
> 
> 
>> # true | openssl s_client -connect mx1.yandex.ru:25 -servername 
>> mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout
>> -subject
> 
>> subject= /C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russian 
>> Federation/CN=mx.yandex.ru/emailAddress=p...@yandex-team.ru
> 
> 
>> а в CN указан не mx1.yandex.ru, а mx.yandex.ru
> 
>> смотрим синонимы:
> 
> 
>> # true | openssl s_client -connect mx1.yandex.ru:25 -servername 
>> mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout
>> -text | grep -A 1 'Subject Alternative Name'
> 
>> X509v3 Subject Alternative Name: DNS:mx.yandex.ru,
>> DNS:mx.yandex.net
> 
> 
>> тут есть mx.yandex.ru, mx.yandex.net, но нет mx1.yandex.ru
> 
> 
>> соответственно, в логах exim'а будут предупреждения о
>> несоответствии имени хоста MX'а и CN/Alternative Name сертификата:
>> "SSL verify error: certificate name mismatch".
> 
> 
>> у rambler.ru тоже самое - на основном MX'е imx1.rambler.ru
>> используется сертификат, выписанный для mail.rambler.ru:
> 
> 
>> # true | openssl s_client -connect imx1.rambler.ru:25 -servername 
>> imx1.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout
>> -subject
> 
>> subject= /C=RU/ST=Moscow/L=Moscow/O=Rambler Internet Holdings, 
>> LLC/CN=mail.rambler.ru
> 
> 
>> список синонимов там выше крыши, но imx1.rambler.ru среди них нет:
> 
> 
>> # true | openssl s_client -connect mail.rambler.ru:25 -servername 
>> mail.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout
>> -text | grep -A 1 'Subject Alternative Name'
> 
>> X509v3 Subject Alternative Name: DNS:pop.rambler.ru,
>> DNS:imap.rambler.ru, DNS:smtp.rambler.ru, DNS:pop3.rambler.ru,
>> DNS:mxf2.rambler.ru, DNS:mxf1.rambler.ru, DNS:mail.rambler.ru
> 
> 
>> так что предупреждения в логах мы будем ещё долго вылавливать
> 
>> кстати, ты товарищей из rambler.ru по старой памяти не хочешь
>> подергать по этому вопросу?
> 
> Я могу сказать, но шансы, что они перевыпишут свой сертификат не очень
> велики. Зато можно попробовать протолкнуть идею TLSA записей (что
> имеет свои проблемы, особенно если они не используют DNSSEC подписи).

сдаётся мне, что ещё долго всё это будет в таком подвешенном состоянии.

и еще долго будем мы проверять соответствие сертификатов по CN и
Alternative Name.


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.u