Re: [Exim-users] Exim 4.86, SSL verify error
шо, опять? вам же в прошлый раз все верно написали. надо использовать tls_try_verify_hosts remote_smtp: driver = smtp tls_try_verify_hosts = : в результате строчка лога приобретает вид 2015-08-20 15:25:14 1ZSOu7-000FXN-Cc = suit...@xpressus.emsmtp.com H=uspmta197144.emsmtp.com [217.175.197.144] P=esmtps X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no S=197900 id=0.0.c5.6b8.1d0db41915f96a...@uspmta197144.emsmtp.com Четверг, 20 августа 2015, 15:22 +03:00 от Golub Mikhail eximl...@gmn.org.ua: Доброго времени суток. Переходил ли кто на 4.86? Я перешел и вернулся на 4.85 из-за ошибок SSL в логе. И крешился иногда при отправке почты (в рассылке было). Второй вопрос. Как отключить вывод в лог всех ошибок SSL verify error? Не нашел :( -- Голуб Михаил ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86, SSL verify error
Golub Mikhail wrote: Доброго времени суток. доброго Переходил ли кто на 4.86? я перевел около полутора десятков серверов Я перешел и вернулся на 4.85 из-за ошибок SSL в логе. И крешился иногда при отправке почты (в рассылке было). крешей я не наблюдал Второй вопрос. Как отключить вывод в лог всех ошибок SSL verify error? Не нашел :( tls_try_verify_hosts = : а с первого раза поверить было нельзя? p. s. я хотел дать линк на своё письмо в веб архиве рассылки, но у нас там на http://mailground.net/mailman/listinfo/exim-users с чарсетами жуть какая-то твориться (служебные сообщения на странице в UTF-8, а данные о листе в KOI8-R), а на http://mailground.net/pipermail/exim-users/ вообще ошибка 403 -- Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc ICQ UIN: 371808614 JID: corvax_at...@jabber.corvax.kiev.ua nic-handle: CRV-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
[Exim-users] Exim 4.86, SSL verify error
Vsevolod Stakhov wrote: On 20/08/2015 14:12, l...@lena.kiev.ua wrote: дампов и корок нет. выб поглядели ту кору, где оно падает, этож не сложно По умолчанию при крэше exim не сохраняется coredump. Недавно в англоязычной exim-users были жалобы на signal 11: https://lists.exim.org/lurker/message/20150816.204206.150bc9eb.en.html https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html Переходил ли кто на 4.86? 3 недели назад, signal 11 в mainlog нет, но трафик маленький. FreeBSD 6 i386. А сообщения об ошибках certificate verification в логе мне не мешают. Это только предупреждения, письма проходят нормально. В FreeBSD если exim использует openssl, то количество таких сообщений можно уменьшить, установив порт ca_root_nss (если openssl не из портов, а из base, то make config поставить галочку add symlink to /etc/ssl/cert.pem). Возможно, следует добавить следующие две вещи в порт mail/exim: 1) зависимость от openssl должна быть жестко от openssl port, а не от openssl base Сева, а может лучше дать возможность выбора использования OpenSSL из порта или из базовой системы. понятное дело, что в свете событий последнего года или полутора лучше использовать портовый. но может у кого-то будут объективные причины использовать базовый OpenSSL. а если exim по зависимостям потянет и портовый OpenSSL, то куча остальных портов при сборке будут использовать именно его. 2) при включении зависимости от openssl включать зависимость от ca_root_nss а вот это хорошая идея. галка Add symlink to /etc/ssl/cert.pem вроде там по дефолту стоит. так что в этом случае предупреждений о валидных сертификатах уже не будет в логах. но даже у крупных почтовых систем, даже при использовании сертификатов, заверенных центрами сертификации, могут быть предупреждения в логах. на примере домена narod.ru # host -t mx narod.ru narod.ru mail is handled by 10 mx2.yandex.ru. narod.ru mail is handled by 10 mx1.yandex.ru. narod.ru mail is handled by 10 mx3.yandex.ru. смотрим Common Name сертификата на mx1.yandex.ru: # true | openssl s_client -connect mx1.yandex.ru:25 -servername mx1.yandex.ru -starttls smtp 2/dev/null | openssl x509 -noout -subject subject= /C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russian Federation/CN=mx.yandex.ru/emailAddress=p...@yandex-team.ru а в CN указан не mx1.yandex.ru, а mx.yandex.ru смотрим синонимы: # true | openssl s_client -connect mx1.yandex.ru:25 -servername mx1.yandex.ru -starttls smtp 2/dev/null | openssl x509 -noout -text | grep -A 1 'Subject Alternative Name' X509v3 Subject Alternative Name: DNS:mx.yandex.ru, DNS:mx.yandex.net тут есть mx.yandex.ru, mx.yandex.net, но нет mx1.yandex.ru соответственно, в логах exim'а будут предупреждения о несоответствии имени хоста MX'а и CN/Alternative Name сертификата: SSL verify error: certificate name mismatch. у rambler.ru тоже самое - на основном MX'е imx1.rambler.ru используется сертификат, выписанный для mail.rambler.ru: # true | openssl s_client -connect imx1.rambler.ru:25 -servername imx1.rambler.ru -starttls smtp 2/dev/null | openssl x509 -noout -subject subject= /C=RU/ST=Moscow/L=Moscow/O=Rambler Internet Holdings, LLC/CN=mail.rambler.ru список синонимов там выше крыши, но imx1.rambler.ru среди них нет: # true | openssl s_client -connect mail.rambler.ru:25 -servername mail.rambler.ru -starttls smtp 2/dev/null | openssl x509 -noout -text | grep -A 1 'Subject Alternative Name' X509v3 Subject Alternative Name: DNS:pop.rambler.ru, DNS:imap.rambler.ru, DNS:smtp.rambler.ru, DNS:pop3.rambler.ru, DNS:mxf2.rambler.ru, DNS:mxf1.rambler.ru, DNS:mail.rambler.ru так что предупреждения в логах мы будем ещё долго вылавливать кстати, ты товарищей из rambler.ru по старой памяти не хочешь подергать по этому вопросу? Патч для исправления SIGSEGV я включу, как только будет вкоммичено решение для bug 1671 [1] [1]: https://bugs.exim.org/show_bug.cgi?id=1671 ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users -- Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc ICQ UIN: 371808614 JID: corvax_at...@jabber.corvax.kiev.ua nic-handle: CRV-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Hello Golub, Wednesday, July 29, 2015, 5:29:58 PM, you wrote: GM В общем, решил пока так. GM В файле src/tls-openssl.c убрал вывод в лог того, что мешало Проблему подтверждаю. Exim собран с системным OpenSSL на 9.3-RELEASE-p20. При чём wget, собранный из портов таким же образом, на сертификаты того же сервера не ругается. Ваш патч почему-то не прошёл (4 вхождение), пришлось править руками. -- WBR, Alexander Sheiko exim_cert_errors.patch Description: Binary data ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Хорошо, подскажите еще, может какой-то параметр еще добавить в конфиг? Ведь, как я понял, не у всех ошибки есть на 4.86. Сейчас только эти параметры прописаны касательно TLS. tls_certificate = цепочка сертификатов startssl.com + сертификат. tls_privatekey = ключ. tls_advertise_hosts = * openssl_options = +dont_insert_empty_fragments +no_sslv3 ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Хорошо, подскажите еще, может какой-то параметр еще добавить в конфиг? Ведь, как я понял, не у всех ошибки есть на 4.86. А приведите строки лога полностью. Наверно, так и должно быть. Это только предупреждения, письма проходят. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Вот такие строки, например. 2015-07-29 11:06:07 [89.184.69.23] SSL verify error: depth=0 error=certificate not trusted cert=/O=*.mirohost.net/OU=Domain Control Validated/CN=*.mirohost.net 2015-07-29 11:06:07 [89.184.69.23] SSL verify error: depth=0 error=unable to verify the first certificate cert=/O=*.mirohost.net/OU=Domain Control Validated/CN=*.mirohost.net Или 2015-07-29 11:05:35 1ZKMMn-0002N6-MV [207.46.163.138] SSL verify error: depth=2 error=unable to get local issuer certificate cert=/CN=Microsoft Internet Authority 2015-07-29 11:05:35 1ZKMMn-0002N6-MV [207.46.163.138] SSL verify error: depth=2 error=certificate not trusted cert=/CN=Microsoft Internet Authority 2015-07-29 11:05:37 1ZKMMn-0002N6-MV = @panduit.com R=dnslookup T=remote_smtp H=panduit-com.mail.protection.outlook.com [207.46.163.138] C=250 2.6.0 ... Да, письма проходят ... Но такой ругани в лог на старой версии небыло. Вот и хочу понять - кто виноват? -Original Message- From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf Of l...@lena.kiev.ua Sent: Wednesday, July 29, 2015 11:04 AM To: Exim MTA на русском Subject: Re: [Exim-users] Exim 4.86: SSL verify error Хорошо, подскажите еще, может какой-то параметр еще добавить в конфиг? Ведь, как я понял, не у всех ошибки есть на 4.86. А приведите строки лога полностью. Наверно, так и должно быть. Это только предупреждения, письма проходят. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
OpenSSL системный, не из портов. Системный использует /etc/ssl/cert.pem Переустановил и ca_root_nss и exim. # ls -l /usr/local/openssl/cert.pem -rw-r--r-- 1 root wheel 953741 29 июл 08:32 /usr/local/openssl/cert.pem Вот на него можно сделать ссылку. # ls -l /etc/ssl/cert.pem /etc/ssl/cert.pem - /usr/local/openssl/cert.pem # ls -l /usr/local/openssl/cert.pem -rw-r--r-- 1 root wheel 953741 29 июл 08:32 /usr/local/openssl/cert.pem И при отправке на сервер с самоподписным сертификатом в логе ошибка - для теста доступен только такой сервер. Тестирую на тестовом хосте без отправки в мир. На этом же хосте еще позавчера был 4.85 и ошибки в лог не писал. Собственно, сейчас эти ошибки SSL verify error, как я вижу, тоже проблем не вызывают - письма доставляются. Но напрягает ... ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
В общем, решил пока так. В файле src/tls-openssl.c убрал вывод в лог того, что мешало :) 367c367 log_write(0, LOG_MAIN, [%s] SSL verify error: depth=%d error=%s cert=%s, --- /* log_write(0, LOG_MAIN, [%s] SSL verify error: depth=%d error=%s cert=%s, 372c372 *calledp = TRUE; --- */ *calledp = TRUE; 441c441 log_write(0, LOG_MAIN, --- /* log_write(0, LOG_MAIN, 444c444 dn); --- */dn); -- Голуб Михаил ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Спасибо, но не помогло. Ошибки в лог пишутся при приеме сообщений – или из мира, или с внутренних серверов. Они и на 4.85 были (так как опции сборки и конфиг те же), но в лог не писались. Например: 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=unable to get local issuer certificate cert=/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Level IV CA 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=certificate not trusted cert=/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Level IV CA From: Exim-users [ mailto:exim-users-boun...@mailground.net mailto:exim-users-boun...@mailground.net] On Behalf Of dawnshade Sent: Tuesday, July 28, 2015 10:01 AM To: Exim MTA на русском Subject: Re: [Exim-users] Exim 4.86: SSL verify error http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l24 24 JH/06 Verification of the server certificate for a TLS connection is now tried http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l25 25 (but not required) by default. The verification status is now logged by http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l26 26 default, for both outbound TLS and client-certificate supplying inbound http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l27 27 TLS connections tls_verify_cert_hostnames Use: smtp Type: host list† Default: * поставить в пустую строку не поможет в транспорте? Вторник, 28 июля 2015, 9:50 +03:00 от Golub Mikhail mailto:eximl...@gmn.org.ua eximl...@gmn.org.ua: Доброе утро. Как отключить запись этого мусора в лог? SSL verify error: depth=1 error=certificate not trusted cert= SSL verify error: certificate name mismatch: Этот параметр не помог: log_selector = -tls_certificate_verified P.S. В 4.85 так не мусорило в лог. -- Голуб Михаил ___ Exim-users mailing list https://e.mail.ru/compose?To=exim%2dus...@mailground.net Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Hello Lena, Wednesday, July 29, 2015, 12:07:27 AM, you wrote: Llku У меня FreeBSD на сервере и в домашнем компе. Llku В сервере Exim использует openssl из портов. Llku Я скопировала из домашнего компа на сервер файл /usr/local/openssl/cert.pem Копировать сертификаты не нужно, достаточно поставить порт security/ca_root_nss и сделать: ln -s /usr/local/share/certs/ca-root-nss.crt /usr/local/openssl/cert.pem Если порт при установке это не предложит и не сделает сам. Если использовать openssl из системы (чего мне хватает, зачем ещё ставить с портов): grep OPENSSL /etc/make.conf OPTIONS_SET+=OPENSSL_BASE И поставить порт security/ca_root_nss, то в нём можно поставить галочку: Add symlink to /etc/ssl/cert.pem Тогда получится так: ls -l /etc/ssl/cert.pem lrwxr-xr-x 1 root wheel 38 16 июл 19:23 /etc/ssl/cert.pem - /usr/local/share/certs/ca-root-nss.crt Эти корневые сертификаты будет использовать любой, собранный с системным openssl софт, вроде wget. -- WBR, Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Замена опции TLS на GNUTLS помогла. Использовать openssl уже нельзя? :) -Original Message- From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf Of Golub Mikhail Sent: Tuesday, July 28, 2015 2:15 PM To: Exim MTA на русском Subject: Re: [Exim-users] Exim 4.86: SSL verify error Опции сборки: Exim version 4.86 #0 (FreeBSD 10.1) built 28-Jul-2015 10:36:45 Copyright (c) University of Cambridge, 1995 - 2015 (c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file, 2007 - 2015 Probably Berkeley DB version 1.8x (native mode) Support for: crypteq use_setclassresources Perl Expand_dlfunc OpenSSL Content_Scanning Old_Demime DNSSEC PRDR Experimental_SPF Experimental_SRS Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm dbmjz dbmnz dnsdb dsearch ldap ldapdn ldapm mysql passwd Authenticators: plaintext Routers: accept dnslookup ipliteral manualroute queryprogram redirect Transports: appendfile/mbx autoreply pipe smtp Fixed never_users: 0 Size of off_t: 8 Configuration file is /usr/local/etc/exim/configure Т.е. использую openssl. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Опции сборки: Exim version 4.86 #0 (FreeBSD 10.1) built 28-Jul-2015 10:36:45 Copyright (c) University of Cambridge, 1995 - 2015 (c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file, 2007 - 2015 Probably Berkeley DB version 1.8x (native mode) Support for: crypteq use_setclassresources Perl Expand_dlfunc OpenSSL Content_Scanning Old_Demime DNSSEC PRDR Experimental_SPF Experimental_SRS Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm dbmjz dbmnz dnsdb dsearch ldap ldapdn ldapm mysql passwd Authenticators: plaintext Routers: accept dnslookup ipliteral manualroute queryprogram redirect Transports: appendfile/mbx autoreply pipe smtp Fixed never_users: 0 Size of off_t: 8 Configuration file is /usr/local/etc/exim/configure Т.е. использую openssl. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
приветствую Golub Mikhail wrote: Спасибо, но не помогло. Ошибки в лог пишутся при приеме сообщений – или из мира, или с внутренних серверов. Они и на 4.85 были (так как опции сборки и конфиг те же), но в лог не писались. Например: 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=unable to get local issuer certificate cert=/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Level IV CA 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=certificate not trusted cert=/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Level IV CA скорее всего это ошибки проверки сертификата при проведении встречной проверки отправителя. если тут же послать письмо от того же отправителя на данный сервер, то сообщение об ошибке вряд ли будет выведено в лог повторно. также при отключении встречной проверке отправителя скорее всего таких сообщений при получении писем не будет. *From:*Exim-users [mailto:exim-users-boun...@mailground.net] *On Behalf Of *dawnshade *Sent:* Tuesday, July 28, 2015 10:01 AM *To:* Exim MTA нарусском *Subject:* Re: [Exim-users] Exim 4.86: SSL verify error 24 http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l24JH/06 Verification of the server certificate for a TLS connection is now tried 25 http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l25 (but not required) by default. The verification status is now logged by 26 http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l26 default, for both outbound TLS and client-certificate supplying inbound 27 http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l27 TLS connections *tls_verify_cert_hostnames* Use: /smtp/ Type: /host//list/† Default: /*/ поставить в пустую строку не поможет в транспорте? Вторник, 28 июля 2015, 9:50 +03:00 от Golub Mikhail eximl...@gmn.org.ua mailto:eximl...@gmn.org.ua: Доброе утро. Как отключить запись этого мусора в лог? SSL verify error: depth=1 error=certificate not trusted cert= SSL verify error: certificate name mismatch: Этотпараметрнепомог: log_selector = -tls_certificate_verified P.S. В4.85 такнемусориловлог. -- ГолубМихаил ___ Exim-users mailing list Exim-users@mailground.net /compose?To=exim%2dus...@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users -- Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc ICQ UIN: 371808614 JID: corvax_at...@jabber.corvax.kiev.ua nic-handle: CRV-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
-Original Message- From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf Of Victor Ustugov Sent: Tuesday, July 28, 2015 10:08 PM To: Golub Mikhail Subject: Re: [Exim-users] Exim 4.86: SSL verify error скорее всего это ошибки проверки сертификата при проведении встречной проверки отправителя. Нет, такое происходит при отправке письма на внутренний Exchange, например. На тестовом сервере сразу три ошибки: SSL verify error: depth=0 error=unable to get local issuer certificate cert=... SSL verify error: depth=0 error=certificate not trusted cert=... SSL verify error: depth=0 error=unable to verify the first certificate cert=... А так при отправке на многие хосты в Интернете. [108.174.3.215] SSL verify error: depth=1 error=certificate not trusted cert=/C=US/O=DigiCert Inc/CN=DigiCert Secure Server CA [93.171.218.25] SSL verify error: depth=2 error=self signed certificate in certificate chain cert=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority [91.208.52.158] SSL verify error: depth=1 error=unable to get local issuer certificate cert=/C=US/O=thawte, Inc./CN=thawte SSL CA - G2 ... Как указывал dawnshade, параметр tls_verify_cert_hostnames пробовал добавлять в транспорт. Не помогает :( И так tls_verify_cert_hostnames = * И так tls_verify_cert_hostnames =!* ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Golub Mikhail wrote: Спасибо, но не помогло. можно попробовать в параметры remote_smtp транспорта добавить: tls_try_verify_hosts = : кстати, тогда в лог не будут выводиться и сообщения о проверке сертификатов серверов отправителей при проведении встречной проверки отправителя (если, конечно, для встречной проверки используется remote_smtp транспорт). Ошибки в лог пишутся при приеме сообщений – или из мира, или с внутренних серверов. Они и на 4.85 были (так как опции сборки и конфиг те же), но в лог не писались. Например: 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=unable to get local issuer certificate cert=/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Level IV CA 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=certificate not trusted cert=/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Level IV CA *From:*Exim-users [mailto:exim-users-boun...@mailground.net] *On Behalf Of *dawnshade *Sent:* Tuesday, July 28, 2015 10:01 AM *To:* Exim MTA нарусском *Subject:* Re: [Exim-users] Exim 4.86: SSL verify error 24 http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l24JH/06 Verification of the server certificate for a TLS connection is now tried 25 http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l25 (but not required) by default. The verification status is now logged by 26 http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l26 default, for both outbound TLS and client-certificate supplying inbound 27 http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l27 TLS connections *tls_verify_cert_hostnames* Use: /smtp/ Type: /host//list/† Default: /*/ поставить в пустую строку не поможет в транспорте? Вторник, 28 июля 2015, 9:50 +03:00 от Golub Mikhail eximl...@gmn.org.ua mailto:eximl...@gmn.org.ua: Доброе утро. Как отключить запись этого мусора в лог? SSL verify error: depth=1 error=certificate not trusted cert= SSL verify error: certificate name mismatch: Этотпараметрнепомог: log_selector = -tls_certificate_verified P.S. В4.85 такнемусориловлог. -- ГолубМихаил ___ Exim-users mailing list Exim-users@mailground.net /compose?To=exim%2dus...@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users -- Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc ICQ UIN: 371808614 JID: corvax_at...@jabber.corvax.kiev.ua nic-handle: CRV-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Golub Mikhail wrote: то, что эти ошибки появляются при отсылке писем - это понятно. но при приёме они появляться не должны. Внутреннюю структуру своих серверов я вроде знаю :) И знаю, что на Exchange письма с внешнего Exim уходят на один IP - ошибка SSL есть. При отправке письма с Exchange во внешний мир (через шлюз Exim) письма на Exim попадают с других адресов - ошибка SSL тоже есть. тогда не буду настаивать. я лишь изложил результаты тестирования сообщений об ошибках при включенной встречной проверке отправителя, отключенной встречной проверке отправителя, а также при включенной проверке отправителя после очистки кеша. tls_try_verify_hosts = : - так я вообще отключу запрос на открытие TLS-сессии. И тогда будет все чисто, но не будет TLS :) при использовании на стороне отправителя tls_try_verify_hosts = : в настройках транспорта remote_smtp я в логах на стороне получателя наблюдал P=esmtps при доставке. на стороне отправителя ошибок проверки сертификата сервера получателя в логах не было. на сервере получателя самоподписанный сертификат. но опять же, настаивать не буду. -- Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc ICQ UIN: 371808614 JID: corvax_at...@jabber.corvax.kiev.ua nic-handle: CRV-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
После апгрейда Exim до 4.86 у меня появились в mainlog при отправке на mail.ru: 2015-07-28 21:39:28 +0300 1ZK9mc-0007bA-5S [217.69.139.150] SSL verify error: depth=2 error=unable to get local issuer certificate cert=/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA У меня FreeBSD на сервере и в домашнем компе. В сервере Exim использует openssl из портов. В домашнем компе установлены много портов, среди них curl и ca_root_nss. Я скопировала из домашнего компа на сервер файл /usr/local/openssl/cert.pem (который вроде от порта ca_root_nss, хотя pkg which этого не знает) и рестартовала Exim: kill -HUP `cat /var/run/exim.pid` Теперь такие сообщения в логе не появляются. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
то, что эти ошибки появляются при отсылке писем - это понятно. но при приёме они появляться не должны. Внутреннюю структуру своих серверов я вроде знаю :) И знаю, что на Exchange письма с внешнего Exim уходят на один IP - ошибка SSL есть. При отправке письма с Exchange во внешний мир (через шлюз Exim) письма на Exim попадают с других адресов - ошибка SSL тоже есть. tls_try_verify_hosts = : - так я вообще отключу запрос на открытие TLS-сессии. И тогда будет все чисто, но не будет TLS :) ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
