Re: [Exim-users] Exim 4.86, SSL verify error

[Victor Ustugov]

Vsevolod Stakhov wrote:

>>> Возможно, следует добавить следующие две вещи в порт mail/exim:
>>>
>>> 1) зависимость от openssl должна быть жестко от openssl port, а
>>> не от openssl base
> 
>> Сева, а может лучше дать возможность выбора использования OpenSSL
>> из порта или из базовой системы.
> 
> Я считаю данную возможность, как и наличие openssl в базе - огромной
> ошибкой, из-за которой мы имеем огромное количество дырявых систем,
> которые не были бы дырявыми в случае openssl из портов/пакетов. Тут
> надежда только на pkg для base и на более вменяемую политику security
> updates.

так если сейчас кто-то не обновляет базовую систему (и вместе с ней
базовый OpenSSL) в случае необходимости, так он точно также в случае
появления уязвимостей может плевать на ругань pkg audit и не обновлять
портовый OpenSSL.

я не ратую за использование базового OpenSSL (у самого уже везде
портовый используется, но не из-за exim), но может не надо так прямо с
плеча рулить?

>> понятное дело, что в свете событий последнего года или полутора
>> лучше использовать портовый.
> 
> Учитывая 0day статус всех этих уязвимостей а также тот факт, что новые
> дыры вносятся тоже постоянно, единственный вариант - это quaterly
> branches пакетов и немедленная реакция security officers на все
> найденные проблемы.

так на проблемы в любом случае нужно реагировать, будь то проблемы с
базовой системой, ядром или пакетами.

>> но может у кого-то будут объективные причины использовать базовый
>> OpenSSL. а если exim по зависимостям потянет и портовый OpenSSL, то
>> куча остальных портов при сборке будут использовать именно его.
> 
> Никаких *объективных* причин на это нет. К счастью, наши re@ и
> остальное коммьюнити уже согласны с этой точкой зрения (по поводу
> выноса openssl из base).

ну... если вы там у себя уже все решили, то может оно и к лучшему...

>>> 2) при включении зависимости от openssl включать зависимость от 
>>> ca_root_nss
> 
>> а вот это хорошая идея. галка "Add symlink to /etc/ssl/cert.pem"
>> вроде там по дефолту стоит. так что в этом случае предупреждений о
>> валидных сертификатах уже не будет в логах.
> 
>> но даже у крупных почтовых систем, даже при использовании
>> сертификатов, заверенных центрами сертификации, могут быть
>> предупреждения в логах.
> 
> Но имя должно проверяться через DANE! Проверка сертификата через
> trusted CA - это всего лишь костыль для тех, у кого сломан DNSSEC.
> 
>> на примере домена narod.ru
> 
>> # host -t mx narod.ru narod.ru mail is handled by 10
>> mx2.yandex.ru. narod.ru mail is handled by 10 mx1.yandex.ru. 
>> narod.ru mail is handled by 10 mx3.yandex.ru.
> 
> 
>> смотрим Common Name сертификата на mx1.yandex.ru:
> 
> 
>> # true | openssl s_client -connect mx1.yandex.ru:25 -servername 
>> mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout
>> -subject
> 
>> subject= /C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russian 
>> Federation/CN=mx.yandex.ru/emailAddress=p...@yandex-team.ru
> 
> 
>> а в CN указан не mx1.yandex.ru, а mx.yandex.ru
> 
>> смотрим синонимы:
> 
> 
>> # true | openssl s_client -connect mx1.yandex.ru:25 -servername 
>> mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout
>> -text | grep -A 1 'Subject Alternative Name'
> 
>> X509v3 Subject Alternative Name: DNS:mx.yandex.ru,
>> DNS:mx.yandex.net
> 
> 
>> тут есть mx.yandex.ru, mx.yandex.net, но нет mx1.yandex.ru
> 
> 
>> соответственно, в логах exim'а будут предупреждения о
>> несоответствии имени хоста MX'а и CN/Alternative Name сертификата:
>> "SSL verify error: certificate name mismatch".
> 
> 
>> у rambler.ru тоже самое - на основном MX'е imx1.rambler.ru
>> используется сертификат, выписанный для mail.rambler.ru:
> 
> 
>> # true | openssl s_client -connect imx1.rambler.ru:25 -servername 
>> imx1.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout
>> -subject
> 
>> subject= /C=RU/ST=Moscow/L=Moscow/O=Rambler Internet Holdings, 
>> LLC/CN=mail.rambler.ru
> 
> 
>> список синонимов там выше крыши, но imx1.rambler.ru среди них нет:
> 
> 
>> # true | openssl s_client -connect mail.rambler.ru:25 -servername 
>> mail.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout
>> -text | grep -A 1 'Subject Alternative Name'
> 
>> X509v3 Subject Alternative Name: DNS:pop.rambler.ru,
>> DNS:imap.rambler.ru, DNS:smtp.rambler.ru, DNS:pop3.rambler.ru,
>> DNS:mxf2.rambler.ru, DNS:mxf1.rambler.ru, DNS:mail.rambler.ru
> 
> 
>> так что предупреждения в логах мы будем ещё долго вылавливать
> 
>> кстати, ты товарищей из rambler.ru по старой памяти не хочешь
>> подергать по этому вопросу?
> 
> Я могу сказать, но шансы, что они перевыпишут свой сертификат не очень
> велики. Зато можно попробовать протолкнуть идею TLSA записей (что
> имеет свои проблемы, особенно если они не используют DNSSEC подписи).

сдаётся мне, что ещё долго всё это будет в таком подвешенном состоянии.

и еще долго будем мы проверять соответствие сертификатов по CN и
Alternative Name.


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.u

Re: [Exim-users] Exim 4.86, SSL verify error

[Vsevolod Stakhov]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA256

On 20/08/2015 15:08, Victor Ustugov wrote:
> Vsevolod Stakhov wrote:
>> On 20/08/2015 14:12, l...@lena.kiev.ua wrote:
 дампов и корок нет. выб поглядели ту кору, где оно падает,
 этож не сложно
>> 
>>> По умолчанию при крэше exim не сохраняется coredump. Недавно в 
>>> англоязычной exim-users были жалобы на signal 11: 
>>> https://lists.exim.org/lurker/message/20150816.204206.150bc9eb.en.html
>>
>>
>>
>>> 
https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html
>> 
 Переходил ли кто  на 4.86?
>> 
>>> 3 недели назад, signal 11 в mainlog нет, но трафик маленький. 
>>> FreeBSD 6 i386.
>> 
>>> А сообщения об ошибках certificate verification в логе мне не 
>>> мешают. Это только предупреждения, письма проходят нормально.
>>> В FreeBSD если exim использует openssl, то количество таких 
>>> сообщений можно уменьшить, установив порт ca_root_nss (если
>>> openssl не из портов, а из base, то make config поставить
>>> галочку "add symlink to /etc/ssl/cert.pem").
>> 
>> Возможно, следует добавить следующие две вещи в порт mail/exim:
>> 
>> 1) зависимость от openssl должна быть жестко от openssl port, а
>> не от openssl base
> 
> Сева, а может лучше дать возможность выбора использования OpenSSL
> из порта или из базовой системы.

Я считаю данную возможность, как и наличие openssl в базе - огромной
ошибкой, из-за которой мы имеем огромное количество дырявых систем,
которые не были бы дырявыми в случае openssl из портов/пакетов. Тут
надежда только на pkg для base и на более вменяемую политику security
updates.

> понятное дело, что в свете событий последнего года или полутора
> лучше использовать портовый.

Учитывая 0day статус всех этих уязвимостей а также тот факт, что новые
дыры вносятся тоже постоянно, единственный вариант - это quaterly
branches пакетов и немедленная реакция security officers на все
найденные проблемы.

> но может у кого-то будут объективные причины использовать базовый
> OpenSSL. а если exim по зависимостям потянет и портовый OpenSSL, то
> куча остальных портов при сборке будут использовать именно его.

Никаких *объективных* причин на это нет. К счастью, наши re@ и
остальное коммьюнити уже согласны с этой точкой зрения (по поводу
выноса openssl из base).

>> 2) при включении зависимости от openssl включать зависимость от 
>> ca_root_nss
> 
> а вот это хорошая идея. галка "Add symlink to /etc/ssl/cert.pem"
> вроде там по дефолту стоит. так что в этом случае предупреждений о
> валидных сертификатах уже не будет в логах.
> 
> но даже у крупных почтовых систем, даже при использовании
> сертификатов, заверенных центрами сертификации, могут быть
> предупреждения в логах.

Но имя должно проверяться через DANE! Проверка сертификата через
trusted CA - это всего лишь костыль для тех, у кого сломан DNSSEC.

> на примере домена narod.ru
> 
> # host -t mx narod.ru narod.ru mail is handled by 10
> mx2.yandex.ru. narod.ru mail is handled by 10 mx1.yandex.ru. 
> narod.ru mail is handled by 10 mx3.yandex.ru.
> 
> 
> смотрим Common Name сертификата на mx1.yandex.ru:
> 
> 
> # true | openssl s_client -connect mx1.yandex.ru:25 -servername 
> mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout
> -subject
> 
> subject= /C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russian 
> Federation/CN=mx.yandex.ru/emailAddress=p...@yandex-team.ru
> 
> 
> а в CN указан не mx1.yandex.ru, а mx.yandex.ru
> 
> смотрим синонимы:
> 
> 
> # true | openssl s_client -connect mx1.yandex.ru:25 -servername 
> mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout
> -text | grep -A 1 'Subject Alternative Name'
> 
> X509v3 Subject Alternative Name: DNS:mx.yandex.ru,
> DNS:mx.yandex.net
> 
> 
> тут есть mx.yandex.ru, mx.yandex.net, но нет mx1.yandex.ru
> 
> 
> соответственно, в логах exim'а будут предупреждения о
> несоответствии имени хоста MX'а и CN/Alternative Name сертификата:
> "SSL verify error: certificate name mismatch".
> 
> 
> у rambler.ru тоже самое - на основном MX'е imx1.rambler.ru
> используется сертификат, выписанный для mail.rambler.ru:
> 
> 
> # true | openssl s_client -connect imx1.rambler.ru:25 -servername 
> imx1.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout
> -subject
> 
> subject= /C=RU/ST=Moscow/L=Moscow/O=Rambler Internet Holdings, 
> LLC/CN=mail.rambler.ru
> 
> 
> список синонимов там выше крыши, но imx1.rambler.ru среди них нет:
> 
> 
> # true | openssl s_client -connect mail.rambler.ru:25 -servername 
> mail.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout
> -text | grep -A 1 'Subject Alternative Name'
> 
> X509v3 Subject Alternative Name: DNS:pop.rambler.ru,
> DNS:imap.rambler.ru, DNS:smtp.rambler.ru, DNS:pop3.rambler.ru,
> DNS:mxf2.rambler.ru, DNS:mxf1.rambler.ru, DNS:mail.rambler.ru
> 
> 
> так что предупреждения в логах мы будем ещё долго вылавливать
> 
> кстати, ты товарищей из rambler.ru по старой памяти не хочешь
> подергать по этому вопросу?

Я могу сказать, но шансы, что они перевыпишут свой сертификат 

[Exim-users] Exim 4.86, SSL verify error

[Victor Ustugov]

Vsevolod Stakhov wrote:
> On 20/08/2015 14:12, l...@lena.kiev.ua wrote:
>>> дампов и корок нет. выб поглядели ту кору, где оно падает, этож
>>> не сложно
> 
>> По умолчанию при крэше exim не сохраняется coredump. Недавно в
>> англоязычной exim-users были жалобы на signal 11: 
>> https://lists.exim.org/lurker/message/20150816.204206.150bc9eb.en.html
> 
> 
> https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html
> 
>>> Переходил ли кто  на 4.86?
> 
>> 3 недели назад, signal 11 в mainlog нет, но трафик маленький.
>> FreeBSD 6 i386.
> 
>> А сообщения об ошибках certificate verification в логе мне не
>> мешают. Это только предупреждения, письма проходят нормально. В
>> FreeBSD если exim использует openssl, то количество таких
>> сообщений можно уменьшить, установив порт ca_root_nss (если openssl
>> не из портов, а из base, то make config поставить галочку "add
>> symlink to /etc/ssl/cert.pem").
> 
> Возможно, следует добавить следующие две вещи в порт mail/exim:
> 
> 1) зависимость от openssl должна быть жестко от openssl port, а не от
> openssl base

Сева, а может лучше дать возможность выбора использования OpenSSL из
порта или из базовой системы.

понятное дело, что в свете событий последнего года или полутора лучше
использовать портовый. но может у кого-то будут объективные причины
использовать базовый OpenSSL. а если exim по зависимостям потянет и
портовый OpenSSL, то куча остальных портов при сборке будут использовать
именно его.

> 2) при включении зависимости от openssl включать зависимость от
> ca_root_nss

а вот это хорошая идея. галка "Add symlink to /etc/ssl/cert.pem" вроде
там по дефолту стоит. так что в этом случае предупреждений о валидных
сертификатах уже не будет в логах.

но даже у крупных почтовых систем, даже при использовании сертификатов,
заверенных центрами сертификации, могут быть предупреждения в логах.

на примере домена narod.ru

# host -t mx narod.ru
narod.ru mail is handled by 10 mx2.yandex.ru.
narod.ru mail is handled by 10 mx1.yandex.ru.
narod.ru mail is handled by 10 mx3.yandex.ru.


смотрим Common Name сертификата на mx1.yandex.ru:


# true | openssl s_client -connect mx1.yandex.ru:25 -servername
mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout -subject

subject= /C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russian
Federation/CN=mx.yandex.ru/emailAddress=p...@yandex-team.ru


а в CN указан не mx1.yandex.ru, а mx.yandex.ru

смотрим синонимы:


# true | openssl s_client -connect mx1.yandex.ru:25 -servername
mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout -text |
grep -A 1 'Subject Alternative Name'

X509v3 Subject Alternative Name:
DNS:mx.yandex.ru, DNS:mx.yandex.net


тут есть mx.yandex.ru, mx.yandex.net, но нет mx1.yandex.ru


соответственно, в логах exim'а будут предупреждения о несоответствии
имени хоста MX'а и CN/Alternative Name сертификата: "SSL verify error:
certificate name mismatch".


у rambler.ru тоже самое - на основном MX'е imx1.rambler.ru используется
сертификат, выписанный для mail.rambler.ru:


# true | openssl s_client -connect imx1.rambler.ru:25 -servername
imx1.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout -subject

subject= /C=RU/ST=Moscow/L=Moscow/O=Rambler Internet Holdings,
LLC/CN=mail.rambler.ru


список синонимов там выше крыши, но imx1.rambler.ru среди них нет:


# true | openssl s_client -connect mail.rambler.ru:25 -servername
mail.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout -text |
grep -A 1 'Subject Alternative Name'

X509v3 Subject Alternative Name:
DNS:pop.rambler.ru, DNS:imap.rambler.ru,
DNS:smtp.rambler.ru, DNS:pop3.rambler.ru, DNS:mxf2.rambler.ru,
DNS:mxf1.rambler.ru, DNS:mail.rambler.ru


так что предупреждения в логах мы будем ещё долго вылавливать

кстати, ты товарищей из rambler.ru по старой памяти не хочешь подергать
по этому вопросу?


> Патч для исправления SIGSEGV я включу, как только будет вкоммичено
> решение для bug 1671 [1]
> 
> [1]: https://bugs.exim.org/show_bug.cgi?id=1671
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86, SSL verify error

[Victor Ustugov]

Golub Mikhail wrote:
> Доброго времени суток.

доброго

> Переходил ли кто  на 4.86?

я перевел около полутора десятков серверов

> Я перешел и вернулся на 4.85 из-за ошибок SSL в логе.
> И крешился иногда при отправке почты (в рассылке было).

крешей я не наблюдал


> Второй вопрос.
> Как отключить вывод в лог всех ошибок "SSL verify error"?
> Не нашел :(

tls_try_verify_hosts = :

а с первого раза поверить было нельзя?

p. s. я хотел дать линк на своё письмо в веб архиве рассылки, но у нас
там на http://mailground.net/mailman/listinfo/exim-users с чарсетами
жуть какая-то твориться (служебные сообщения на странице в UTF-8, а
данные о листе в KOI8-R), а на
http://mailground.net/pipermail/exim-users/ вообще ошибка 403

-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86, SSL verify error

[dawnshade]

нет. апгрейдлися вчера, дампов и корок нет. выб поглядели ту кору, где оно 
падает, этож не сложно


>Четверг, 20 августа 2015, 15:33 +03:00 от Golub Mikhail :
>
>А такого небыло?
>«smtp transport process returned non-zero status      0x000b: terminated 
>by signal 11»
> 
>Был вопрос в рассылке недавно.
> 
> 
> 
>From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf Of 
>dawnshade
>Sent: Thursday, August 20, 2015 3:27 PM
>To: Exim MTA на русском
>Subject: Re: [Exim-users] Exim 4.86, SSL verify error
> 
>шо, опять? вам же в прошлый раз все верно написали. надо использовать 
>tls_try_verify_hosts
>
>remote_smtp:
>driver = smtp
>tls_try_verify_hosts = :
>
>
>в результате строчка лога приобретает вид
> 
>2015-08-20 15:25:14 1ZSOu7-000FXN-Cc <= suit...@xpressus.emsmtp.com 
>H=uspmta197144.emsmtp.com [217.175.197.144] P=esmtps 
>X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no S=197900 
>id=0.0.c5.6b8.1d0db41915f96a...@uspmta197144.emsmtp.com
>> 
>>Четверг, 20 августа 2015, 15:22 +03:00 от Golub Mikhail < eximl...@gmn.org.ua 
>>>:
>>Доброго времени суток.
>>
>>Переходил ли кто на 4.86?
>>Я перешел и вернулся на 4.85 из-за ошибок SSL в логе.
>>И крешился иногда при отправке почты (в рассылке было).
>>
>>Второй вопрос.
>>Как отключить вывод в лог всех ошибок "SSL verify error"?
>>Не нашел :(
>>
>>-- 
>>Голуб Михаил
>>
>>___
>>Exim-users mailing list
>>Exim-users@mailground.net
>>http://mailground.net/mailman/listinfo/exim-users
> 
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86, SSL verify error

[Golub Mikhail]

А такого небыло?
«smtp transport process returned non-zero status0x000b: terminated by 
signal 11»
 
Был вопрос в рассылке недавно.
 
 
 
From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf Of 
dawnshade
Sent: Thursday, August 20, 2015 3:27 PM
To: Exim MTA на русском
Subject: Re: [Exim-users] Exim 4.86, SSL verify error
 
шо, опять? вам же в прошлый раз все верно написали. надо использовать 
tls_try_verify_hosts


remote_smtp:
driver = smtp
tls_try_verify_hosts = :


в результате строчка лога приобретает вид
 
2015-08-20 15:25:14 1ZSOu7-000FXN-Cc <= suit...@xpressus.emsmtp.com 
H=uspmta197144.emsmtp.com [217.175.197.144] P=esmtps 
X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no S=197900 
id=0.0.c5.6b8.1d0db41915f96a...@uspmta197144.emsmtp.com
 
Четверг, 20 августа 2015, 15:22 +03:00 от Golub Mikhail :
Доброго времени суток.

Переходил ли кто на 4.86?
Я перешел и вернулся на 4.85 из-за ошибок SSL в логе.
И крешился иногда при отправке почты (в рассылке было).

Второй вопрос.
Как отключить вывод в лог всех ошибок "SSL verify error"?
Не нашел :(

-- 
Голуб Михаил

___
Exim-users mailing list
Exim-users@mailground.net 
<https://e.mail.ru/compose?To=exim%2dus...@mailground.net> 
http://mailground.net/mailman/listinfo/exim-users
 
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86, SSL verify error

[dawnshade]

 шо, опять? вам же в прошлый раз все верно написали. надо использовать 
tls_try_verify_hosts


remote_smtp:
driver = smtp
tls_try_verify_hosts = :


в результате строчка лога приобретает вид

2015-08-20 15:25:14 1ZSOu7-000FXN-Cc <= suit...@xpressus.emsmtp.com 
H=uspmta197144.emsmtp.com [217.175.197.144]  P=esmtps 
X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256  CV=no S=197900 
id=0.0.c5.6b8.1d0db41915f96a...@uspmta197144.emsmtp.com
>Четверг, 20 августа 2015, 15:22 +03:00 от Golub Mikhail :
>
>Доброго времени суток.
>
>Переходил ли кто  на 4.86?
>Я перешел и вернулся на 4.85 из-за ошибок SSL в логе.
>И крешился иногда при отправке почты (в рассылке было).
>
>Второй вопрос.
>Как отключить вывод в лог всех ошибок "SSL verify error"?
>Не нашел :(
>
>-- 
>Голуб Михаил
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Exim 4.86, SSL verify error

[Golub Mikhail]

Доброго времени суток.

Переходил ли кто  на 4.86?
Я перешел и вернулся на 4.85 из-за ошибок SSL в логе.
И крешился иногда при отправке почты (в рассылке было).

Второй вопрос.
Как отключить вывод в лог всех ошибок "SSL verify error"?
Не нашел :(

-- 
Голуб Михаил

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Alexander Sheiko]

Hello Golub,

Wednesday, July 29, 2015, 5:29:58 PM, you wrote:

GM> В общем, решил пока так.

GM> В файле src/tls-openssl.c убрал вывод в лог того, что мешало  

Проблему подтверждаю. Exim собран с системным OpenSSL на 9.3-RELEASE-p20.

При  чём  wget,  собранный  из  портов  таким же образом, на сертификаты того 
же 
сервера не ругается.

Ваш патч почему-то не прошёл (4 вхождение), пришлось править руками.

-- 
WBR, Alexander Sheiko

exim_cert_errors.patch
Description: Binary data
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Golub Mikhail]

В общем, решил пока так.

В файле src/tls-openssl.c убрал вывод в лог того, что мешало :)


367c367
<   log_write(0, LOG_MAIN, "[%s] SSL verify error: depth=%d error=%s cert=%s",
---
> /*  log_write(0, LOG_MAIN, "[%s] SSL verify error: depth=%d error=%s cert=%s",
372c372
<   *calledp = TRUE;
---
> */ *calledp = TRUE;
441c441
<   log_write(0, LOG_MAIN,
---
> /*  log_write(0, LOG_MAIN,
444c444
<   dn);
---
> */dn);



-- 
Голуб Михаил



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Golub Mikhail]

Вот такие строки, например.
2015-07-29 11:06:07 [89.184.69.23] SSL verify error: depth=0 error=certificate 
not trusted cert=/O=*.mirohost.net/OU=Domain Control Validated/CN=*.mirohost.net
2015-07-29 11:06:07 [89.184.69.23] SSL verify error: depth=0 error=unable to 
verify the first certificate cert=/O=*.mirohost.net/OU=Domain Control 
Validated/CN=*.mirohost.net
Или
2015-07-29 11:05:35 1ZKMMn-0002N6-MV [207.46.163.138] SSL verify error: depth=2 
error=unable to get local issuer certificate cert=/CN=Microsoft Internet 
Authority
2015-07-29 11:05:35 1ZKMMn-0002N6-MV [207.46.163.138] SSL verify error: depth=2 
error=certificate not trusted cert=/CN=Microsoft Internet Authority
2015-07-29 11:05:37 1ZKMMn-0002N6-MV => @panduit.com R=dnslookup 
T=remote_smtp H=panduit-com.mail.protection.outlook.com [207.46.163.138] C="250 
2.6.0 ...

Да, письма проходят ...
Но такой ругани в лог на старой версии небыло.
Вот и хочу понять - кто виноват?


> -Original Message-
> From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf
> Of l...@lena.kiev.ua
> Sent: Wednesday, July 29, 2015 11:04 AM
> To: Exim MTA на русском
> Subject: Re: [Exim-users] Exim 4.86: SSL verify error
> 
> > Хорошо, подскажите еще, может какой-то параметр еще добавить в
> конфиг?
> > Ведь, как я понял, не у всех ошибки есть на 4.86.
> 
> А приведите строки лога полностью. Наверно, так и должно быть.
> Это только предупреждения, письма проходят.
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Lena]

> Хорошо, подскажите еще, может какой-то параметр еще добавить в конфиг?
> Ведь, как я понял, не у всех ошибки есть на 4.86.

А приведите строки лога полностью. Наверно, так и должно быть.
Это только предупреждения, письма проходят.

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Golub Mikhail]

Хорошо, подскажите еще, может какой-то параметр еще добавить в конфиг?
Ведь, как я понял, не у всех ошибки есть на 4.86.

Сейчас только эти параметры прописаны касательно TLS.
tls_certificate = цепочка сертификатов startssl.com + сертификат.
tls_privatekey = ключ.
tls_advertise_hosts = *
openssl_options = +dont_insert_empty_fragments +no_sslv3

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Golub Mikhail]

> > OpenSSL системный, не из портов.
> 
> Системный использует /etc/ssl/cert.pem
> 
> > Переустановил и ca_root_nss и exim.
> > # ls -l /usr/local/openssl/cert.pem
> > -rw-r--r--  1 root  wheel  953741 29 июл 08:32 /usr/local/openssl/cert.pem
> 
> Вот на него можно сделать ссылку.

# ls -l /etc/ssl/cert.pem
/etc/ssl/cert.pem -> /usr/local/openssl/cert.pem

# ls -l /usr/local/openssl/cert.pem
-rw-r--r--  1 root  wheel  953741 29 июл 08:32 /usr/local/openssl/cert.pem

И при отправке на сервер с самоподписным сертификатом в логе ошибка - для теста 
доступен только такой сервер.
Тестирую на тестовом хосте без отправки "в мир".
На этом же хосте еще позавчера был 4.85 и ошибки в лог не писал.

Собственно, сейчас эти ошибки "SSL verify error", как я вижу, тоже проблем не 
вызывают - письма доставляются.
Но напрягает ...

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Lena]

> OpenSSL системный, не из портов.

Системный использует /etc/ssl/cert.pem

> Переустановил и ca_root_nss и exim.
> # ls -l /usr/local/openssl/cert.pem
> -rw-r--r--  1 root  wheel  953741 29 июл 08:32 /usr/local/openssl/cert.pem

Вот на него можно сделать ссылку.

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Golub Mikhail]

> -Original Message-
> From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf
> Of Victor Ustugov
> Sent: Wednesday, July 29, 2015 12:11 AM
> To: Exim MTA на русском
> Subject: Re: [Exim-users] Exim 4.86: SSL verify error
> 
> l...@lena.kiev.ua wrote:
> > После апгрейда Exim до 4.86 у меня появились в mainlog при отправке
> на mail.ru:
> >
> > 2015-07-28 21:39:28 +0300 1ZK9mc-0007bA-5S [217.69.139.150] SSL verify
> error: depth=2 error=unable to get local issuer certificate
> cert=/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
> >
> > У меня FreeBSD на сервере и в домашнем компе.
> > В сервере Exim использует openssl из портов.
> > В домашнем компе установлены много портов, среди них curl и
> ca_root_nss.
> > Я скопировала из домашнего компа на сервер файл
> /usr/local/openssl/cert.pem
> > (который вроде от порта ca_root_nss, хотя pkg which этого не знает)
> > и рестартовала Exim: kill -HUP `cat /var/run/exim.pid`
> > Теперь такие сообщения в логе не появляются.
> 
> в случае самоподписанных сертификатов всё равно сообщения об
> ошибках
> будут появляться (на сколько я понял, Михаилу и они не нужны).

На внутреннем сервере всегда был самоподписный сертификат.
И в случае с Exim 4.85 ошибок небыло. Появились на 4.86.

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Golub Mikhail]

Суммируя написанное.

Был Exim 4.85, были такие же конгифи.
Файл /usr/local/openssl/cert.pem есть.
Ошибок в логе "SSL verify error" небыло.

OpenSSL системный, не из портов.
Порт ca_root_nss установлен был уже раньше - ca_root_nss-3.19.2

Переустановил и ca_root_nss и exim.
# ls -l /usr/local/openssl/cert.pem
-rw-r--r--  1 root  wheel  953741 29 июл 08:32 /usr/local/openssl/cert.pem

Ошибка осталась :(

Спасибо, буду искать решение.


> -Original Message-
> From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf
> Of Alexander Sheiko
> Sent: Wednesday, July 29, 2015 5:19 AM
> To: Exim MTA на русском
> Subject: Re: [Exim-users] Exim 4.86: SSL verify error
> 
> Hello Lena,
> 
> Wednesday, July 29, 2015, 12:07:27 AM, you wrote:
> 
> Llku> У меня FreeBSD на сервере и в домашнем компе.
> Llku> В сервере Exim использует openssl из портов.
> Llku> Я скопировала из домашнего компа на сервер файл
> /usr/local/openssl/cert.pem
> 
> Копировать сертификаты не нужно, достаточно поставить порт
> security/ca_root_nss
> и сделать:
> 
> ln -s /usr/local/share/certs/ca-root-nss.crt /usr/local/openssl/cert.pem
> 
> Если порт при установке это не предложит и не сделает сам.
> 
> Если  использовать  openssl  из  системы (чего мне хватает, зачем ещё
> ставить с
> портов):
> 
> grep OPENSSL /etc/make.conf
> OPTIONS_SET+=OPENSSL_BASE
> 
> И поставить порт security/ca_root_nss, то в нём можно поставить галочку:
> 
> Add symlink to /etc/ssl/cert.pem
> 
> Тогда получится так:
> 
> ls -l /etc/ssl/cert.pem
> lrwxr-xr-x  1 root  wheel  38 16 июл 19:23 /etc/ssl/cert.pem ->
> /usr/local/share/certs/ca-root-nss.crt
> 
> Эти корневые сертификаты будет использовать любой, собранный с
> системным openssl
> софт, вроде wget.
> 
> --
> WBR, Alexander Sheiko
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Alexander Sheiko]

Hello Lena,

Wednesday, July 29, 2015, 12:07:27 AM, you wrote:

Llku> У меня FreeBSD на сервере и в домашнем компе.
Llku> В сервере Exim использует openssl из портов.
Llku> Я скопировала из домашнего компа на сервер файл 
/usr/local/openssl/cert.pem

Копировать сертификаты не нужно, достаточно поставить порт security/ca_root_nss 
и сделать:

ln -s /usr/local/share/certs/ca-root-nss.crt /usr/local/openssl/cert.pem

Если порт при установке это не предложит и не сделает сам.

Если  использовать  openssl  из  системы (чего мне хватает, зачем ещё ставить с 
портов):

grep OPENSSL /etc/make.conf
OPTIONS_SET+=OPENSSL_BASE

И поставить порт security/ca_root_nss, то в нём можно поставить галочку:

Add symlink to /etc/ssl/cert.pem

Тогда получится так:

ls -l /etc/ssl/cert.pem
lrwxr-xr-x  1 root  wheel  38 16 июл 19:23 /etc/ssl/cert.pem -> 
/usr/local/share/certs/ca-root-nss.crt

Эти корневые сертификаты будет использовать любой, собранный с системным 
openssl 
софт, вроде wget.

-- 
WBR, Alexander Sheiko


___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Victor Ustugov]

l...@lena.kiev.ua wrote:
> После апгрейда Exim до 4.86 у меня появились в mainlog при отправке на 
> mail.ru:
> 
> 2015-07-28 21:39:28 +0300 1ZK9mc-0007bA-5S [217.69.139.150] SSL verify error: 
> depth=2 error=unable to get local issuer certificate cert=/C=US/O=GeoTrust 
> Inc./CN=GeoTrust Global CA
> 
> У меня FreeBSD на сервере и в домашнем компе.
> В сервере Exim использует openssl из портов.
> В домашнем компе установлены много портов, среди них curl и ca_root_nss.
> Я скопировала из домашнего компа на сервер файл /usr/local/openssl/cert.pem
> (который вроде от порта ca_root_nss, хотя pkg which этого не знает)
> и рестартовала Exim: kill -HUP `cat /var/run/exim.pid`
> Теперь такие сообщения в логе не появляются.

в случае самоподписанных сертификатов всё равно сообщения об ошибках
будут появляться (на сколько я понял, Михаилу и они не нужны).


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Lena]

После апгрейда Exim до 4.86 у меня появились в mainlog при отправке на mail.ru:

2015-07-28 21:39:28 +0300 1ZK9mc-0007bA-5S [217.69.139.150] SSL verify error: 
depth=2 error=unable to get local issuer certificate cert=/C=US/O=GeoTrust 
Inc./CN=GeoTrust Global CA

У меня FreeBSD на сервере и в домашнем компе.
В сервере Exim использует openssl из портов.
В домашнем компе установлены много портов, среди них curl и ca_root_nss.
Я скопировала из домашнего компа на сервер файл /usr/local/openssl/cert.pem
(который вроде от порта ca_root_nss, хотя pkg which этого не знает)
и рестартовала Exim: kill -HUP `cat /var/run/exim.pid`
Теперь такие сообщения в логе не появляются.

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Victor Ustugov]

Golub Mikhail wrote:
>> то, что эти ошибки появляются при отсылке писем - это понятно. но при
>> приёме они появляться не должны.
> 
> Внутреннюю структуру своих серверов я вроде знаю :)
> И знаю, что на Exchange письма с внешнего Exim уходят на один IP - ошибка SSL 
> есть.
> 
> При отправке письма с Exchange во внешний мир (через шлюз Exim) письма на 
> Exim попадают с других адресов - ошибка SSL тоже есть.

тогда не буду настаивать.

я лишь изложил результаты тестирования сообщений об ошибках при
включенной встречной проверке отправителя, отключенной встречной
проверке отправителя, а также при включенной проверке отправителя после
очистки кеша.

> "tls_try_verify_hosts = : " - так я вообще отключу запрос на открытие 
> TLS-сессии.
> И тогда будет все чисто, но не будет TLS :)

при использовании на стороне отправителя "tls_try_verify_hosts = : " в
настройках транспорта remote_smtp я в логах на стороне получателя
наблюдал "P=esmtps" при доставке.

на стороне отправителя ошибок проверки сертификата сервера получателя в
логах не было.

на сервере получателя самоподписанный сертификат.

но опять же, настаивать не буду.


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Golub Mikhail]

> то, что эти ошибки появляются при отсылке писем - это понятно. но при
> приёме они появляться не должны.

Внутреннюю структуру своих серверов я вроде знаю :)
И знаю, что на Exchange письма с внешнего Exim уходят на один IP - ошибка SSL 
есть.

При отправке письма с Exchange во внешний мир (через шлюз Exim) письма на Exim 
попадают с других адресов - ошибка SSL тоже есть.

"tls_try_verify_hosts = : " - так я вообще отключу запрос на открытие 
TLS-сессии.
И тогда будет все чисто, но не будет TLS :)

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Victor Ustugov]

Golub Mikhail wrote:
>> -Original Message-
>> From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf
>> Of Victor Ustugov
>> Sent: Tuesday, July 28, 2015 10:08 PM
>> To: Golub Mikhail
>> Subject: Re: [Exim-users] Exim 4.86: SSL verify error
>>
>> скорее всего это ошибки проверки сертификата при проведении
>> встречной проверки отправителя.
> 
> Нет, такое происходит при отправке письма на внутренний Exchange, например.
> На тестовом сервере сразу три ошибки:
> SSL verify error: depth=0 error=unable to get local issuer certificate 
> cert=...
> SSL verify error: depth=0 error=certificate not trusted cert=...
> SSL verify error: depth=0 error=unable to verify the first certificate 
> cert=...
> 
> А так при отправке на многие хосты в Интернете.
> [108.174.3.215] SSL verify error: depth=1 error=certificate not trusted 
> cert=/C=US/O=DigiCert Inc/CN=DigiCert Secure Server CA
> [93.171.218.25] SSL verify error: depth=2 error=self signed certificate in 
> certificate chain cert=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate 
> Signing/CN=StartCom Certification Authority
> [91.208.52.158] SSL verify error: depth=1 error=unable to get local issuer 
> certificate cert=/C=US/O=thawte, Inc./CN=thawte SSL CA - G2
> ...

это понятно. я отвечал на "Ошибки в лог пишутся при приеме сообщений –
или из мира, или с внутренних серверов."

то, что эти ошибки появляются при отсылке писем - это понятно. но при
приёме они появляться не должны.

если такие сообщения об ошибках появляются при приёме письма, значит на
самом деле была предпринята попытка если не отправки письма со стороны
этого сервера, то по крайней мере была предпринята попытка проведения
встречной проверки отправителя.


> Как указывал dawnshade, параметр tls_verify_cert_hostnames пробовал добавлять 
> в транспорт.
> Не помогает :(
> И так tls_verify_cert_hostnames = *
> И так tls_verify_cert_hostnames =!*

tls_verify_cert_hostnames - это несколько другая история.

этот параметр, судя по всему, должен отвечать за проверку соответствия
имени хоста сервера значению Common Name сертификата. ну и ещё алиасы
проверяются (имена хостов из поля Subject Alternative Name из X509v3
extensions сертификата). тот же WoGign подписывает сертификаты с
немерянной кучей алиасов, даже из разных доменов. да и StartCom'овские
сертификаты вроде идут с одним алиасом всегда.

но при этом сам сертификат всё равно должен пройти проверку валидности.


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Victor Ustugov]

Golub Mikhail wrote:
> Спасибо, но не помогло.

можно попробовать в параметры remote_smtp транспорта добавить:

tls_try_verify_hosts = :

кстати, тогда в лог не будут выводиться и сообщения о проверке
сертификатов серверов отправителей при проведении встречной проверки
отправителя (если, конечно, для встречной проверки используется
remote_smtp транспорт).


> Ошибки в лог пишутся при приеме сообщений – или из мира, или с
> внутренних серверов.
> 
> Они и на 4.85 были (так как опции сборки и конфиг те же), но в лог не
> писались.
> 
>  
> 
> Например:
> 
> 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=unable
> to get local issuer certificate cert=/C=PL/O=Unizeto Technologies
> S.A./OU=Certum Certification Authority/CN=Certum Level IV CA
> 
> 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1
> error=certificate not trusted cert=/C=PL/O=Unizeto Technologies
> S.A./OU=Certum Certification Authority/CN=Certum Level IV CA
> 
>  
> 
>  
> 
>  
> 
> *From:*Exim-users [mailto:exim-users-boun...@mailground.net] *On Behalf
> Of *dawnshade
> *Sent:* Tuesday, July 28, 2015 10:01 AM
> *To:* Exim MTA нарусском
> *Subject:* Re: [Exim-users] Exim 4.86: SSL verify error
> 
>  
> 
> 24
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l24>JH/06 
> Verification of the server certificate for a TLS connection is now tried
> 
> 25
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l25>  
> (but not required) by default.  The verification status is now logged by
> 
> 26
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l26>  
> default, for both outbound TLS and client-certificate supplying inbound
> 
> 27
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l27>  
> TLS connections
> 
>  
> 
> *tls_verify_cert_hostnames*
> 
>   
> 
> Use: /smtp/
> 
>   
> 
> Type: /host//list/†
> 
>   
> 
> Default: /*/
> 
> 
> поставить в пустую строку не поможет в транспорте?
> 
> Вторник, 28 июля 2015, 9:50 +03:00 от Golub Mikhail  <mailto:eximl...@gmn.org.ua>>:
> 
> Доброе утро.
> 
> Как отключить запись этого "мусора" в лог?
> SSL verify error: depth=1 error=certificate not trusted cert=
> SSL verify error: certificate name mismatch:
> 
> Этотпараметрнепомог:
> log_selector = -tls_certificate_verified
> 
> P.S. В4.85 такнемусориловлог.
> 
> -- 
> ГолубМихаил
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net 
> http://mailground.net/mailman/listinfo/exim-users
> 
>  
> 
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Golub Mikhail]

> -Original Message-
> From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf
> Of Victor Ustugov
> Sent: Tuesday, July 28, 2015 10:08 PM
> To: Golub Mikhail
> Subject: Re: [Exim-users] Exim 4.86: SSL verify error
> 
> скорее всего это ошибки проверки сертификата при проведении
> встречной проверки отправителя.

Нет, такое происходит при отправке письма на внутренний Exchange, например.
На тестовом сервере сразу три ошибки:
SSL verify error: depth=0 error=unable to get local issuer certificate cert=...
SSL verify error: depth=0 error=certificate not trusted cert=...
SSL verify error: depth=0 error=unable to verify the first certificate cert=...

А так при отправке на многие хосты в Интернете.
[108.174.3.215] SSL verify error: depth=1 error=certificate not trusted 
cert=/C=US/O=DigiCert Inc/CN=DigiCert Secure Server CA
[93.171.218.25] SSL verify error: depth=2 error=self signed certificate in 
certificate chain cert=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate 
Signing/CN=StartCom Certification Authority
[91.208.52.158] SSL verify error: depth=1 error=unable to get local issuer 
certificate cert=/C=US/O=thawte, Inc./CN=thawte SSL CA - G2
...

Как указывал dawnshade, параметр tls_verify_cert_hostnames пробовал добавлять в 
транспорт.
Не помогает :(
И так tls_verify_cert_hostnames = *
И так tls_verify_cert_hostnames =!*
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Victor Ustugov]

приветствую

Golub Mikhail wrote:
> Спасибо, но не помогло.
> 
> Ошибки в лог пишутся при приеме сообщений – или из мира, или с
> внутренних серверов.
> 
> Они и на 4.85 были (так как опции сборки и конфиг те же), но в лог не
> писались.
> 
>  
> 
> Например:
> 
> 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=unable
> to get local issuer certificate cert=/C=PL/O=Unizeto Technologies
> S.A./OU=Certum Certification Authority/CN=Certum Level IV CA
> 
> 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1
> error=certificate not trusted cert=/C=PL/O=Unizeto Technologies
> S.A./OU=Certum Certification Authority/CN=Certum Level IV CA

скорее всего это ошибки проверки сертификата при проведении встречной
проверки отправителя.

если тут же послать письмо от того же отправителя на данный сервер, то
сообщение об ошибке вряд ли будет выведено в лог повторно.

также при отключении встречной проверке отправителя скорее всего таких
сообщений при получении писем не будет.


> *From:*Exim-users [mailto:exim-users-boun...@mailground.net] *On Behalf
> Of *dawnshade
> *Sent:* Tuesday, July 28, 2015 10:01 AM
> *To:* Exim MTA нарусском
> *Subject:* Re: [Exim-users] Exim 4.86: SSL verify error
> 
>  
> 
> 24
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l24>JH/06 
> Verification of the server certificate for a TLS connection is now tried
> 
> 25
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l25>  
> (but not required) by default.  The verification status is now logged by
> 
> 26
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l26>  
> default, for both outbound TLS and client-certificate supplying inbound
> 
> 27
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l27>  
> TLS connections
> 
>  
> 
> *tls_verify_cert_hostnames*
> 
>   
> 
> Use: /smtp/
> 
>   
> 
> Type: /host//list/†
> 
>   
> 
> Default: /*/
> 
> 
> поставить в пустую строку не поможет в транспорте?
> 
> Вторник, 28 июля 2015, 9:50 +03:00 от Golub Mikhail  <mailto:eximl...@gmn.org.ua>>:
> 
> Доброе утро.
> 
> Как отключить запись этого "мусора" в лог?
> SSL verify error: depth=1 error=certificate not trusted cert=
> SSL verify error: certificate name mismatch:
> 
> Этотпараметрнепомог:
> log_selector = -tls_certificate_verified
> 
> P.S. В4.85 такнемусориловлог.
> 
> -- 
> ГолубМихаил
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net 
> http://mailground.net/mailman/listinfo/exim-users
> 
>  
> 
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
> 


-- 
Best wishes Victor Ustugov  mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key:   http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614  JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Golub Mikhail]

Замена опции TLS на GNUTLS помогла.
Использовать openssl уже нельзя? :)


> -Original Message-
> From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf
> Of Golub Mikhail
> Sent: Tuesday, July 28, 2015 2:15 PM
> To: Exim MTA на русском
> Subject: Re: [Exim-users] Exim 4.86: SSL verify error
> 
> Опции сборки:
> Exim version 4.86 #0 (FreeBSD 10.1) built 28-Jul-2015 10:36:45
> Copyright (c) University of Cambridge, 1995 - 2015
> (c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file, 2007 -
> 2015
> Probably Berkeley DB version 1.8x (native mode)
> Support for: crypteq use_setclassresources Perl Expand_dlfunc OpenSSL
> Content_Scanning Old_Demime DNSSEC PRDR Experimental_SPF
> Experimental_SRS
> Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm dbmjz
> dbmnz dnsdb dsearch ldap ldapdn ldapm mysql passwd
> Authenticators: plaintext
> Routers: accept dnslookup ipliteral manualroute queryprogram redirect
> Transports: appendfile/mbx autoreply pipe smtp
> Fixed never_users: 0
> Size of off_t: 8
> Configuration file is /usr/local/etc/exim/configure
> 
> Т.е.  использую openssl.
> 
> 
> 
> ___
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Golub Mikhail]

Опции сборки:
Exim version 4.86 #0 (FreeBSD 10.1) built 28-Jul-2015 10:36:45
Copyright (c) University of Cambridge, 1995 - 2015
(c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file, 2007 - 2015
Probably Berkeley DB version 1.8x (native mode)
Support for: crypteq use_setclassresources Perl Expand_dlfunc OpenSSL 
Content_Scanning Old_Demime DNSSEC PRDR Experimental_SPF Experimental_SRS
Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm dbmjz 
dbmnz dnsdb dsearch ldap ldapdn ldapm mysql passwd
Authenticators: plaintext
Routers: accept dnslookup ipliteral manualroute queryprogram redirect
Transports: appendfile/mbx autoreply pipe smtp
Fixed never_users: 0
Size of off_t: 8
Configuration file is /usr/local/etc/exim/configure

Т.е.  использую openssl.



___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[Golub Mikhail]

Спасибо, но не помогло.
Ошибки в лог пишутся при приеме сообщений – или из мира, или с внутренних 
серверов.
Они и на 4.85 были (так как опции сборки и конфиг те же), но в лог не писались.
 
Например:
2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=unable to get 
local issuer certificate cert=/C=PL/O=Unizeto Technologies S.A./OU=Certum 
Certification Authority/CN=Certum Level IV CA
2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=certificate 
not trusted cert=/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification 
Authority/CN=Certum Level IV CA
 
 
 
From: Exim-users [ <mailto:exim-users-boun...@mailground.net> 
mailto:exim-users-boun...@mailground.net] On Behalf Of dawnshade
Sent: Tuesday, July 28, 2015 10:01 AM
To: Exim MTA на русском
Subject: Re: [Exim-users] Exim 4.86: SSL verify error
 
 <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l24> 24 
JH/06 Verification of the server certificate for a TLS connection is now tried
 <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l25> 25
   (but not required) by default.  The verification status is now logged by
 <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l26> 26
   default, for both outbound TLS and client-certificate supplying inbound
 <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l27> 27
   TLS connections


 

tls_verify_cert_hostnames
Use: smtp
Type: host list†
Default: *

поставить в пустую строку не поможет в транспорте?
Вторник, 28 июля 2015, 9:50 +03:00 от Golub Mikhail < 
<mailto:eximl...@gmn.org.ua> eximl...@gmn.org.ua>:
Доброе утро.

Как отключить запись этого "мусора" в лог?
SSL verify error: depth=1 error=certificate not trusted cert=
SSL verify error: certificate name mismatch:

Этот параметр не помог:
log_selector = -tls_certificate_verified

P.S. В 4.85 так не мусорило в лог.

-- 
Голуб Михаил

___
Exim-users mailing list
 <https://e.mail.ru/compose?To=exim%2dus...@mailground.net> 
Exim-users@mailground.net
 <http://mailground.net/mailman/listinfo/exim-users> 
http://mailground.net/mailman/listinfo/exim-users
 
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Re: [Exim-users] Exim 4.86: SSL verify error

[dawnshade]

24 JH/06 Verification of the server certificate for a TLS connection is now 
tried
25   (but not required) by default.  The verification status is now logged 
by
26   default, for both outbound TLS and client-certificate supplying inbound
27   TLS connections



tls_verify_cert_hostnames Use:  smtp Type:  host list † Default:  *
поставить в пустую строку не поможет в транспорте?

>Вторник, 28 июля 2015, 9:50 +03:00 от Golub Mikhail :
>
>Доброе утро.
>
>Как отключить запись этого "мусора" в лог?
>SSL verify error: depth=1 error=certificate not trusted cert=
>SSL verify error: certificate name mismatch:
>
>Этот параметр не помог:
>log_selector = -tls_certificate_verified
>
>P.S. В 4.85 так не мусорило в лог.
>
>-- 
>Голуб Михаил
>
>___
>Exim-users mailing list
>Exim-users@mailground.net
>http://mailground.net/mailman/listinfo/exim-users
>

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

[Exim-users] Exim 4.86: SSL verify error

[Golub Mikhail]

Доброе утро.

Как отключить запись этого "мусора" в лог?
SSL verify error: depth=1 error=certificate not trusted cert=
SSL verify error: certificate name mismatch:

Этот параметр не помог:
log_selector = -tls_certificate_verified

P.S. В 4.85 так не мусорило в лог.

-- 
Голуб Михаил

___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users