Re: [Exim-users] Exim 4.86, SSL verify error
Vsevolod Stakhov wrote: >>> Возможно, следует добавить следующие две вещи в порт mail/exim: >>> >>> 1) зависимость от openssl должна быть жестко от openssl port, а >>> не от openssl base > >> Сева, а может лучше дать возможность выбора использования OpenSSL >> из порта или из базовой системы. > > Я считаю данную возможность, как и наличие openssl в базе - огромной > ошибкой, из-за которой мы имеем огромное количество дырявых систем, > которые не были бы дырявыми в случае openssl из портов/пакетов. Тут > надежда только на pkg для base и на более вменяемую политику security > updates. так если сейчас кто-то не обновляет базовую систему (и вместе с ней базовый OpenSSL) в случае необходимости, так он точно также в случае появления уязвимостей может плевать на ругань pkg audit и не обновлять портовый OpenSSL. я не ратую за использование базового OpenSSL (у самого уже везде портовый используется, но не из-за exim), но может не надо так прямо с плеча рулить? >> понятное дело, что в свете событий последнего года или полутора >> лучше использовать портовый. > > Учитывая 0day статус всех этих уязвимостей а также тот факт, что новые > дыры вносятся тоже постоянно, единственный вариант - это quaterly > branches пакетов и немедленная реакция security officers на все > найденные проблемы. так на проблемы в любом случае нужно реагировать, будь то проблемы с базовой системой, ядром или пакетами. >> но может у кого-то будут объективные причины использовать базовый >> OpenSSL. а если exim по зависимостям потянет и портовый OpenSSL, то >> куча остальных портов при сборке будут использовать именно его. > > Никаких *объективных* причин на это нет. К счастью, наши re@ и > остальное коммьюнити уже согласны с этой точкой зрения (по поводу > выноса openssl из base). ну... если вы там у себя уже все решили, то может оно и к лучшему... >>> 2) при включении зависимости от openssl включать зависимость от >>> ca_root_nss > >> а вот это хорошая идея. галка "Add symlink to /etc/ssl/cert.pem" >> вроде там по дефолту стоит. так что в этом случае предупреждений о >> валидных сертификатах уже не будет в логах. > >> но даже у крупных почтовых систем, даже при использовании >> сертификатов, заверенных центрами сертификации, могут быть >> предупреждения в логах. > > Но имя должно проверяться через DANE! Проверка сертификата через > trusted CA - это всего лишь костыль для тех, у кого сломан DNSSEC. > >> на примере домена narod.ru > >> # host -t mx narod.ru narod.ru mail is handled by 10 >> mx2.yandex.ru. narod.ru mail is handled by 10 mx1.yandex.ru. >> narod.ru mail is handled by 10 mx3.yandex.ru. > > >> смотрим Common Name сертификата на mx1.yandex.ru: > > >> # true | openssl s_client -connect mx1.yandex.ru:25 -servername >> mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout >> -subject > >> subject= /C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russian >> Federation/CN=mx.yandex.ru/emailAddress=p...@yandex-team.ru > > >> а в CN указан не mx1.yandex.ru, а mx.yandex.ru > >> смотрим синонимы: > > >> # true | openssl s_client -connect mx1.yandex.ru:25 -servername >> mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout >> -text | grep -A 1 'Subject Alternative Name' > >> X509v3 Subject Alternative Name: DNS:mx.yandex.ru, >> DNS:mx.yandex.net > > >> тут есть mx.yandex.ru, mx.yandex.net, но нет mx1.yandex.ru > > >> соответственно, в логах exim'а будут предупреждения о >> несоответствии имени хоста MX'а и CN/Alternative Name сертификата: >> "SSL verify error: certificate name mismatch". > > >> у rambler.ru тоже самое - на основном MX'е imx1.rambler.ru >> используется сертификат, выписанный для mail.rambler.ru: > > >> # true | openssl s_client -connect imx1.rambler.ru:25 -servername >> imx1.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout >> -subject > >> subject= /C=RU/ST=Moscow/L=Moscow/O=Rambler Internet Holdings, >> LLC/CN=mail.rambler.ru > > >> список синонимов там выше крыши, но imx1.rambler.ru среди них нет: > > >> # true | openssl s_client -connect mail.rambler.ru:25 -servername >> mail.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout >> -text | grep -A 1 'Subject Alternative Name' > >> X509v3 Subject Alternative Name: DNS:pop.rambler.ru, >> DNS:imap.rambler.ru, DNS:smtp.rambler.ru, DNS:pop3.rambler.ru, >> DNS:mxf2.rambler.ru, DNS:mxf1.rambler.ru, DNS:mail.rambler.ru > > >> так что предупреждения в логах мы будем ещё долго вылавливать > >> кстати, ты товарищей из rambler.ru по старой памяти не хочешь >> подергать по этому вопросу? > > Я могу сказать, но шансы, что они перевыпишут свой сертификат не очень > велики. Зато можно попробовать протолкнуть идею TLSA записей (что > имеет свои проблемы, особенно если они не используют DNSSEC подписи). сдаётся мне, что ещё долго всё это будет в таком подвешенном состоянии. и еще долго будем мы проверять соответствие сертификатов по CN и Alternative Name. -- Best wishes Victor Ustugov mailto:vic...@corvax.kiev.u
Re: [Exim-users] Exim 4.86, SSL verify error
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 20/08/2015 15:08, Victor Ustugov wrote: > Vsevolod Stakhov wrote: >> On 20/08/2015 14:12, l...@lena.kiev.ua wrote: дампов и корок нет. выб поглядели ту кору, где оно падает, этож не сложно >> >>> По умолчанию при крэше exim не сохраняется coredump. Недавно в >>> англоязычной exim-users были жалобы на signal 11: >>> https://lists.exim.org/lurker/message/20150816.204206.150bc9eb.en.html >> >> >> >>> https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html >> Переходил ли кто на 4.86? >> >>> 3 недели назад, signal 11 в mainlog нет, но трафик маленький. >>> FreeBSD 6 i386. >> >>> А сообщения об ошибках certificate verification в логе мне не >>> мешают. Это только предупреждения, письма проходят нормально. >>> В FreeBSD если exim использует openssl, то количество таких >>> сообщений можно уменьшить, установив порт ca_root_nss (если >>> openssl не из портов, а из base, то make config поставить >>> галочку "add symlink to /etc/ssl/cert.pem"). >> >> Возможно, следует добавить следующие две вещи в порт mail/exim: >> >> 1) зависимость от openssl должна быть жестко от openssl port, а >> не от openssl base > > Сева, а может лучше дать возможность выбора использования OpenSSL > из порта или из базовой системы. Я считаю данную возможность, как и наличие openssl в базе - огромной ошибкой, из-за которой мы имеем огромное количество дырявых систем, которые не были бы дырявыми в случае openssl из портов/пакетов. Тут надежда только на pkg для base и на более вменяемую политику security updates. > понятное дело, что в свете событий последнего года или полутора > лучше использовать портовый. Учитывая 0day статус всех этих уязвимостей а также тот факт, что новые дыры вносятся тоже постоянно, единственный вариант - это quaterly branches пакетов и немедленная реакция security officers на все найденные проблемы. > но может у кого-то будут объективные причины использовать базовый > OpenSSL. а если exim по зависимостям потянет и портовый OpenSSL, то > куча остальных портов при сборке будут использовать именно его. Никаких *объективных* причин на это нет. К счастью, наши re@ и остальное коммьюнити уже согласны с этой точкой зрения (по поводу выноса openssl из base). >> 2) при включении зависимости от openssl включать зависимость от >> ca_root_nss > > а вот это хорошая идея. галка "Add symlink to /etc/ssl/cert.pem" > вроде там по дефолту стоит. так что в этом случае предупреждений о > валидных сертификатах уже не будет в логах. > > но даже у крупных почтовых систем, даже при использовании > сертификатов, заверенных центрами сертификации, могут быть > предупреждения в логах. Но имя должно проверяться через DANE! Проверка сертификата через trusted CA - это всего лишь костыль для тех, у кого сломан DNSSEC. > на примере домена narod.ru > > # host -t mx narod.ru narod.ru mail is handled by 10 > mx2.yandex.ru. narod.ru mail is handled by 10 mx1.yandex.ru. > narod.ru mail is handled by 10 mx3.yandex.ru. > > > смотрим Common Name сертификата на mx1.yandex.ru: > > > # true | openssl s_client -connect mx1.yandex.ru:25 -servername > mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout > -subject > > subject= /C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russian > Federation/CN=mx.yandex.ru/emailAddress=p...@yandex-team.ru > > > а в CN указан не mx1.yandex.ru, а mx.yandex.ru > > смотрим синонимы: > > > # true | openssl s_client -connect mx1.yandex.ru:25 -servername > mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout > -text | grep -A 1 'Subject Alternative Name' > > X509v3 Subject Alternative Name: DNS:mx.yandex.ru, > DNS:mx.yandex.net > > > тут есть mx.yandex.ru, mx.yandex.net, но нет mx1.yandex.ru > > > соответственно, в логах exim'а будут предупреждения о > несоответствии имени хоста MX'а и CN/Alternative Name сертификата: > "SSL verify error: certificate name mismatch". > > > у rambler.ru тоже самое - на основном MX'е imx1.rambler.ru > используется сертификат, выписанный для mail.rambler.ru: > > > # true | openssl s_client -connect imx1.rambler.ru:25 -servername > imx1.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout > -subject > > subject= /C=RU/ST=Moscow/L=Moscow/O=Rambler Internet Holdings, > LLC/CN=mail.rambler.ru > > > список синонимов там выше крыши, но imx1.rambler.ru среди них нет: > > > # true | openssl s_client -connect mail.rambler.ru:25 -servername > mail.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout > -text | grep -A 1 'Subject Alternative Name' > > X509v3 Subject Alternative Name: DNS:pop.rambler.ru, > DNS:imap.rambler.ru, DNS:smtp.rambler.ru, DNS:pop3.rambler.ru, > DNS:mxf2.rambler.ru, DNS:mxf1.rambler.ru, DNS:mail.rambler.ru > > > так что предупреждения в логах мы будем ещё долго вылавливать > > кстати, ты товарищей из rambler.ru по старой памяти не хочешь > подергать по этому вопросу? Я могу сказать, но шансы, что они перевыпишут свой сертификат
[Exim-users] Exim 4.86, SSL verify error
Vsevolod Stakhov wrote: > On 20/08/2015 14:12, l...@lena.kiev.ua wrote: >>> дампов и корок нет. выб поглядели ту кору, где оно падает, этож >>> не сложно > >> По умолчанию при крэше exim не сохраняется coredump. Недавно в >> англоязычной exim-users были жалобы на signal 11: >> https://lists.exim.org/lurker/message/20150816.204206.150bc9eb.en.html > > > https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html > >>> Переходил ли кто на 4.86? > >> 3 недели назад, signal 11 в mainlog нет, но трафик маленький. >> FreeBSD 6 i386. > >> А сообщения об ошибках certificate verification в логе мне не >> мешают. Это только предупреждения, письма проходят нормально. В >> FreeBSD если exim использует openssl, то количество таких >> сообщений можно уменьшить, установив порт ca_root_nss (если openssl >> не из портов, а из base, то make config поставить галочку "add >> symlink to /etc/ssl/cert.pem"). > > Возможно, следует добавить следующие две вещи в порт mail/exim: > > 1) зависимость от openssl должна быть жестко от openssl port, а не от > openssl base Сева, а может лучше дать возможность выбора использования OpenSSL из порта или из базовой системы. понятное дело, что в свете событий последнего года или полутора лучше использовать портовый. но может у кого-то будут объективные причины использовать базовый OpenSSL. а если exim по зависимостям потянет и портовый OpenSSL, то куча остальных портов при сборке будут использовать именно его. > 2) при включении зависимости от openssl включать зависимость от > ca_root_nss а вот это хорошая идея. галка "Add symlink to /etc/ssl/cert.pem" вроде там по дефолту стоит. так что в этом случае предупреждений о валидных сертификатах уже не будет в логах. но даже у крупных почтовых систем, даже при использовании сертификатов, заверенных центрами сертификации, могут быть предупреждения в логах. на примере домена narod.ru # host -t mx narod.ru narod.ru mail is handled by 10 mx2.yandex.ru. narod.ru mail is handled by 10 mx1.yandex.ru. narod.ru mail is handled by 10 mx3.yandex.ru. смотрим Common Name сертификата на mx1.yandex.ru: # true | openssl s_client -connect mx1.yandex.ru:25 -servername mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout -subject subject= /C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russian Federation/CN=mx.yandex.ru/emailAddress=p...@yandex-team.ru а в CN указан не mx1.yandex.ru, а mx.yandex.ru смотрим синонимы: # true | openssl s_client -connect mx1.yandex.ru:25 -servername mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout -text | grep -A 1 'Subject Alternative Name' X509v3 Subject Alternative Name: DNS:mx.yandex.ru, DNS:mx.yandex.net тут есть mx.yandex.ru, mx.yandex.net, но нет mx1.yandex.ru соответственно, в логах exim'а будут предупреждения о несоответствии имени хоста MX'а и CN/Alternative Name сертификата: "SSL verify error: certificate name mismatch". у rambler.ru тоже самое - на основном MX'е imx1.rambler.ru используется сертификат, выписанный для mail.rambler.ru: # true | openssl s_client -connect imx1.rambler.ru:25 -servername imx1.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout -subject subject= /C=RU/ST=Moscow/L=Moscow/O=Rambler Internet Holdings, LLC/CN=mail.rambler.ru список синонимов там выше крыши, но imx1.rambler.ru среди них нет: # true | openssl s_client -connect mail.rambler.ru:25 -servername mail.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout -text | grep -A 1 'Subject Alternative Name' X509v3 Subject Alternative Name: DNS:pop.rambler.ru, DNS:imap.rambler.ru, DNS:smtp.rambler.ru, DNS:pop3.rambler.ru, DNS:mxf2.rambler.ru, DNS:mxf1.rambler.ru, DNS:mail.rambler.ru так что предупреждения в логах мы будем ещё долго вылавливать кстати, ты товарищей из rambler.ru по старой памяти не хочешь подергать по этому вопросу? > Патч для исправления SIGSEGV я включу, как только будет вкоммичено > решение для bug 1671 [1] > > [1]: https://bugs.exim.org/show_bug.cgi?id=1671 > > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users > -- Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc ICQ UIN: 371808614 JID: corvax_at...@jabber.corvax.kiev.ua nic-handle: CRV-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86, SSL verify error
Golub Mikhail wrote: > Доброго времени суток. доброго > Переходил ли кто на 4.86? я перевел около полутора десятков серверов > Я перешел и вернулся на 4.85 из-за ошибок SSL в логе. > И крешился иногда при отправке почты (в рассылке было). крешей я не наблюдал > Второй вопрос. > Как отключить вывод в лог всех ошибок "SSL verify error"? > Не нашел :( tls_try_verify_hosts = : а с первого раза поверить было нельзя? p. s. я хотел дать линк на своё письмо в веб архиве рассылки, но у нас там на http://mailground.net/mailman/listinfo/exim-users с чарсетами жуть какая-то твориться (служебные сообщения на странице в UTF-8, а данные о листе в KOI8-R), а на http://mailground.net/pipermail/exim-users/ вообще ошибка 403 -- Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc ICQ UIN: 371808614 JID: corvax_at...@jabber.corvax.kiev.ua nic-handle: CRV-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86, SSL verify error
нет. апгрейдлися вчера, дампов и корок нет. выб поглядели ту кору, где оно падает, этож не сложно >Четверг, 20 августа 2015, 15:33 +03:00 от Golub Mikhail : > >А такого небыло? >«smtp transport process returned non-zero status 0x000b: terminated >by signal 11» > >Был вопрос в рассылке недавно. > > > >From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf Of >dawnshade >Sent: Thursday, August 20, 2015 3:27 PM >To: Exim MTA на русском >Subject: Re: [Exim-users] Exim 4.86, SSL verify error > >шо, опять? вам же в прошлый раз все верно написали. надо использовать >tls_try_verify_hosts > >remote_smtp: >driver = smtp >tls_try_verify_hosts = : > > >в результате строчка лога приобретает вид > >2015-08-20 15:25:14 1ZSOu7-000FXN-Cc <= suit...@xpressus.emsmtp.com >H=uspmta197144.emsmtp.com [217.175.197.144] P=esmtps >X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no S=197900 >id=0.0.c5.6b8.1d0db41915f96a...@uspmta197144.emsmtp.com >> >>Четверг, 20 августа 2015, 15:22 +03:00 от Golub Mikhail < eximl...@gmn.org.ua >>>: >>Доброго времени суток. >> >>Переходил ли кто на 4.86? >>Я перешел и вернулся на 4.85 из-за ошибок SSL в логе. >>И крешился иногда при отправке почты (в рассылке было). >> >>Второй вопрос. >>Как отключить вывод в лог всех ошибок "SSL verify error"? >>Не нашел :( >> >>-- >>Голуб Михаил >> >>___ >>Exim-users mailing list >>Exim-users@mailground.net >>http://mailground.net/mailman/listinfo/exim-users > >___ >Exim-users mailing list >Exim-users@mailground.net >http://mailground.net/mailman/listinfo/exim-users > ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86, SSL verify error
А такого небыло? «smtp transport process returned non-zero status0x000b: terminated by signal 11» Был вопрос в рассылке недавно. From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf Of dawnshade Sent: Thursday, August 20, 2015 3:27 PM To: Exim MTA на русском Subject: Re: [Exim-users] Exim 4.86, SSL verify error шо, опять? вам же в прошлый раз все верно написали. надо использовать tls_try_verify_hosts remote_smtp: driver = smtp tls_try_verify_hosts = : в результате строчка лога приобретает вид 2015-08-20 15:25:14 1ZSOu7-000FXN-Cc <= suit...@xpressus.emsmtp.com H=uspmta197144.emsmtp.com [217.175.197.144] P=esmtps X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no S=197900 id=0.0.c5.6b8.1d0db41915f96a...@uspmta197144.emsmtp.com Четверг, 20 августа 2015, 15:22 +03:00 от Golub Mikhail : Доброго времени суток. Переходил ли кто на 4.86? Я перешел и вернулся на 4.85 из-за ошибок SSL в логе. И крешился иногда при отправке почты (в рассылке было). Второй вопрос. Как отключить вывод в лог всех ошибок "SSL verify error"? Не нашел :( -- Голуб Михаил ___ Exim-users mailing list Exim-users@mailground.net <https://e.mail.ru/compose?To=exim%2dus...@mailground.net> http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86, SSL verify error
шо, опять? вам же в прошлый раз все верно написали. надо использовать tls_try_verify_hosts remote_smtp: driver = smtp tls_try_verify_hosts = : в результате строчка лога приобретает вид 2015-08-20 15:25:14 1ZSOu7-000FXN-Cc <= suit...@xpressus.emsmtp.com H=uspmta197144.emsmtp.com [217.175.197.144] P=esmtps X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no S=197900 id=0.0.c5.6b8.1d0db41915f96a...@uspmta197144.emsmtp.com >Четверг, 20 августа 2015, 15:22 +03:00 от Golub Mikhail : > >Доброго времени суток. > >Переходил ли кто на 4.86? >Я перешел и вернулся на 4.85 из-за ошибок SSL в логе. >И крешился иногда при отправке почты (в рассылке было). > >Второй вопрос. >Как отключить вывод в лог всех ошибок "SSL verify error"? >Не нашел :( > >-- >Голуб Михаил > >___ >Exim-users mailing list >Exim-users@mailground.net >http://mailground.net/mailman/listinfo/exim-users > ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
[Exim-users] Exim 4.86, SSL verify error
Доброго времени суток. Переходил ли кто на 4.86? Я перешел и вернулся на 4.85 из-за ошибок SSL в логе. И крешился иногда при отправке почты (в рассылке было). Второй вопрос. Как отключить вывод в лог всех ошибок "SSL verify error"? Не нашел :( -- Голуб Михаил ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Hello Golub, Wednesday, July 29, 2015, 5:29:58 PM, you wrote: GM> В общем, решил пока так. GM> В файле src/tls-openssl.c убрал вывод в лог того, что мешало Проблему подтверждаю. Exim собран с системным OpenSSL на 9.3-RELEASE-p20. При чём wget, собранный из портов таким же образом, на сертификаты того же сервера не ругается. Ваш патч почему-то не прошёл (4 вхождение), пришлось править руками. -- WBR, Alexander Sheiko exim_cert_errors.patch Description: Binary data ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
В общем, решил пока так. В файле src/tls-openssl.c убрал вывод в лог того, что мешало :) 367c367 < log_write(0, LOG_MAIN, "[%s] SSL verify error: depth=%d error=%s cert=%s", --- > /* log_write(0, LOG_MAIN, "[%s] SSL verify error: depth=%d error=%s cert=%s", 372c372 < *calledp = TRUE; --- > */ *calledp = TRUE; 441c441 < log_write(0, LOG_MAIN, --- > /* log_write(0, LOG_MAIN, 444c444 < dn); --- > */dn); -- Голуб Михаил ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Вот такие строки, например. 2015-07-29 11:06:07 [89.184.69.23] SSL verify error: depth=0 error=certificate not trusted cert=/O=*.mirohost.net/OU=Domain Control Validated/CN=*.mirohost.net 2015-07-29 11:06:07 [89.184.69.23] SSL verify error: depth=0 error=unable to verify the first certificate cert=/O=*.mirohost.net/OU=Domain Control Validated/CN=*.mirohost.net Или 2015-07-29 11:05:35 1ZKMMn-0002N6-MV [207.46.163.138] SSL verify error: depth=2 error=unable to get local issuer certificate cert=/CN=Microsoft Internet Authority 2015-07-29 11:05:35 1ZKMMn-0002N6-MV [207.46.163.138] SSL verify error: depth=2 error=certificate not trusted cert=/CN=Microsoft Internet Authority 2015-07-29 11:05:37 1ZKMMn-0002N6-MV => @panduit.com R=dnslookup T=remote_smtp H=panduit-com.mail.protection.outlook.com [207.46.163.138] C="250 2.6.0 ... Да, письма проходят ... Но такой ругани в лог на старой версии небыло. Вот и хочу понять - кто виноват? > -Original Message- > From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf > Of l...@lena.kiev.ua > Sent: Wednesday, July 29, 2015 11:04 AM > To: Exim MTA на русском > Subject: Re: [Exim-users] Exim 4.86: SSL verify error > > > Хорошо, подскажите еще, может какой-то параметр еще добавить в > конфиг? > > Ведь, как я понял, не у всех ошибки есть на 4.86. > > А приведите строки лога полностью. Наверно, так и должно быть. > Это только предупреждения, письма проходят. > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
> Хорошо, подскажите еще, может какой-то параметр еще добавить в конфиг? > Ведь, как я понял, не у всех ошибки есть на 4.86. А приведите строки лога полностью. Наверно, так и должно быть. Это только предупреждения, письма проходят. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Хорошо, подскажите еще, может какой-то параметр еще добавить в конфиг? Ведь, как я понял, не у всех ошибки есть на 4.86. Сейчас только эти параметры прописаны касательно TLS. tls_certificate = цепочка сертификатов startssl.com + сертификат. tls_privatekey = ключ. tls_advertise_hosts = * openssl_options = +dont_insert_empty_fragments +no_sslv3 ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
> > OpenSSL системный, не из портов. > > Системный использует /etc/ssl/cert.pem > > > Переустановил и ca_root_nss и exim. > > # ls -l /usr/local/openssl/cert.pem > > -rw-r--r-- 1 root wheel 953741 29 июл 08:32 /usr/local/openssl/cert.pem > > Вот на него можно сделать ссылку. # ls -l /etc/ssl/cert.pem /etc/ssl/cert.pem -> /usr/local/openssl/cert.pem # ls -l /usr/local/openssl/cert.pem -rw-r--r-- 1 root wheel 953741 29 июл 08:32 /usr/local/openssl/cert.pem И при отправке на сервер с самоподписным сертификатом в логе ошибка - для теста доступен только такой сервер. Тестирую на тестовом хосте без отправки "в мир". На этом же хосте еще позавчера был 4.85 и ошибки в лог не писал. Собственно, сейчас эти ошибки "SSL verify error", как я вижу, тоже проблем не вызывают - письма доставляются. Но напрягает ... ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
> OpenSSL системный, не из портов. Системный использует /etc/ssl/cert.pem > Переустановил и ca_root_nss и exim. > # ls -l /usr/local/openssl/cert.pem > -rw-r--r-- 1 root wheel 953741 29 июл 08:32 /usr/local/openssl/cert.pem Вот на него можно сделать ссылку. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
> -Original Message- > From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf > Of Victor Ustugov > Sent: Wednesday, July 29, 2015 12:11 AM > To: Exim MTA на русском > Subject: Re: [Exim-users] Exim 4.86: SSL verify error > > l...@lena.kiev.ua wrote: > > После апгрейда Exim до 4.86 у меня появились в mainlog при отправке > на mail.ru: > > > > 2015-07-28 21:39:28 +0300 1ZK9mc-0007bA-5S [217.69.139.150] SSL verify > error: depth=2 error=unable to get local issuer certificate > cert=/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA > > > > У меня FreeBSD на сервере и в домашнем компе. > > В сервере Exim использует openssl из портов. > > В домашнем компе установлены много портов, среди них curl и > ca_root_nss. > > Я скопировала из домашнего компа на сервер файл > /usr/local/openssl/cert.pem > > (который вроде от порта ca_root_nss, хотя pkg which этого не знает) > > и рестартовала Exim: kill -HUP `cat /var/run/exim.pid` > > Теперь такие сообщения в логе не появляются. > > в случае самоподписанных сертификатов всё равно сообщения об > ошибках > будут появляться (на сколько я понял, Михаилу и они не нужны). На внутреннем сервере всегда был самоподписный сертификат. И в случае с Exim 4.85 ошибок небыло. Появились на 4.86. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Суммируя написанное. Был Exim 4.85, были такие же конгифи. Файл /usr/local/openssl/cert.pem есть. Ошибок в логе "SSL verify error" небыло. OpenSSL системный, не из портов. Порт ca_root_nss установлен был уже раньше - ca_root_nss-3.19.2 Переустановил и ca_root_nss и exim. # ls -l /usr/local/openssl/cert.pem -rw-r--r-- 1 root wheel 953741 29 июл 08:32 /usr/local/openssl/cert.pem Ошибка осталась :( Спасибо, буду искать решение. > -Original Message- > From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf > Of Alexander Sheiko > Sent: Wednesday, July 29, 2015 5:19 AM > To: Exim MTA на русском > Subject: Re: [Exim-users] Exim 4.86: SSL verify error > > Hello Lena, > > Wednesday, July 29, 2015, 12:07:27 AM, you wrote: > > Llku> У меня FreeBSD на сервере и в домашнем компе. > Llku> В сервере Exim использует openssl из портов. > Llku> Я скопировала из домашнего компа на сервер файл > /usr/local/openssl/cert.pem > > Копировать сертификаты не нужно, достаточно поставить порт > security/ca_root_nss > и сделать: > > ln -s /usr/local/share/certs/ca-root-nss.crt /usr/local/openssl/cert.pem > > Если порт при установке это не предложит и не сделает сам. > > Если использовать openssl из системы (чего мне хватает, зачем ещё > ставить с > портов): > > grep OPENSSL /etc/make.conf > OPTIONS_SET+=OPENSSL_BASE > > И поставить порт security/ca_root_nss, то в нём можно поставить галочку: > > Add symlink to /etc/ssl/cert.pem > > Тогда получится так: > > ls -l /etc/ssl/cert.pem > lrwxr-xr-x 1 root wheel 38 16 июл 19:23 /etc/ssl/cert.pem -> > /usr/local/share/certs/ca-root-nss.crt > > Эти корневые сертификаты будет использовать любой, собранный с > системным openssl > софт, вроде wget. > > -- > WBR, Alexander Sheiko > > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Hello Lena, Wednesday, July 29, 2015, 12:07:27 AM, you wrote: Llku> У меня FreeBSD на сервере и в домашнем компе. Llku> В сервере Exim использует openssl из портов. Llku> Я скопировала из домашнего компа на сервер файл /usr/local/openssl/cert.pem Копировать сертификаты не нужно, достаточно поставить порт security/ca_root_nss и сделать: ln -s /usr/local/share/certs/ca-root-nss.crt /usr/local/openssl/cert.pem Если порт при установке это не предложит и не сделает сам. Если использовать openssl из системы (чего мне хватает, зачем ещё ставить с портов): grep OPENSSL /etc/make.conf OPTIONS_SET+=OPENSSL_BASE И поставить порт security/ca_root_nss, то в нём можно поставить галочку: Add symlink to /etc/ssl/cert.pem Тогда получится так: ls -l /etc/ssl/cert.pem lrwxr-xr-x 1 root wheel 38 16 июл 19:23 /etc/ssl/cert.pem -> /usr/local/share/certs/ca-root-nss.crt Эти корневые сертификаты будет использовать любой, собранный с системным openssl софт, вроде wget. -- WBR, Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
l...@lena.kiev.ua wrote: > После апгрейда Exim до 4.86 у меня появились в mainlog при отправке на > mail.ru: > > 2015-07-28 21:39:28 +0300 1ZK9mc-0007bA-5S [217.69.139.150] SSL verify error: > depth=2 error=unable to get local issuer certificate cert=/C=US/O=GeoTrust > Inc./CN=GeoTrust Global CA > > У меня FreeBSD на сервере и в домашнем компе. > В сервере Exim использует openssl из портов. > В домашнем компе установлены много портов, среди них curl и ca_root_nss. > Я скопировала из домашнего компа на сервер файл /usr/local/openssl/cert.pem > (который вроде от порта ca_root_nss, хотя pkg which этого не знает) > и рестартовала Exim: kill -HUP `cat /var/run/exim.pid` > Теперь такие сообщения в логе не появляются. в случае самоподписанных сертификатов всё равно сообщения об ошибках будут появляться (на сколько я понял, Михаилу и они не нужны). -- Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc ICQ UIN: 371808614 JID: corvax_at...@jabber.corvax.kiev.ua nic-handle: CRV-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
После апгрейда Exim до 4.86 у меня появились в mainlog при отправке на mail.ru: 2015-07-28 21:39:28 +0300 1ZK9mc-0007bA-5S [217.69.139.150] SSL verify error: depth=2 error=unable to get local issuer certificate cert=/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA У меня FreeBSD на сервере и в домашнем компе. В сервере Exim использует openssl из портов. В домашнем компе установлены много портов, среди них curl и ca_root_nss. Я скопировала из домашнего компа на сервер файл /usr/local/openssl/cert.pem (который вроде от порта ca_root_nss, хотя pkg which этого не знает) и рестартовала Exim: kill -HUP `cat /var/run/exim.pid` Теперь такие сообщения в логе не появляются. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Golub Mikhail wrote: >> то, что эти ошибки появляются при отсылке писем - это понятно. но при >> приёме они появляться не должны. > > Внутреннюю структуру своих серверов я вроде знаю :) > И знаю, что на Exchange письма с внешнего Exim уходят на один IP - ошибка SSL > есть. > > При отправке письма с Exchange во внешний мир (через шлюз Exim) письма на > Exim попадают с других адресов - ошибка SSL тоже есть. тогда не буду настаивать. я лишь изложил результаты тестирования сообщений об ошибках при включенной встречной проверке отправителя, отключенной встречной проверке отправителя, а также при включенной проверке отправителя после очистки кеша. > "tls_try_verify_hosts = : " - так я вообще отключу запрос на открытие > TLS-сессии. > И тогда будет все чисто, но не будет TLS :) при использовании на стороне отправителя "tls_try_verify_hosts = : " в настройках транспорта remote_smtp я в логах на стороне получателя наблюдал "P=esmtps" при доставке. на стороне отправителя ошибок проверки сертификата сервера получателя в логах не было. на сервере получателя самоподписанный сертификат. но опять же, настаивать не буду. -- Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc ICQ UIN: 371808614 JID: corvax_at...@jabber.corvax.kiev.ua nic-handle: CRV-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
> то, что эти ошибки появляются при отсылке писем - это понятно. но при > приёме они появляться не должны. Внутреннюю структуру своих серверов я вроде знаю :) И знаю, что на Exchange письма с внешнего Exim уходят на один IP - ошибка SSL есть. При отправке письма с Exchange во внешний мир (через шлюз Exim) письма на Exim попадают с других адресов - ошибка SSL тоже есть. "tls_try_verify_hosts = : " - так я вообще отключу запрос на открытие TLS-сессии. И тогда будет все чисто, но не будет TLS :) ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Golub Mikhail wrote: >> -Original Message- >> From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf >> Of Victor Ustugov >> Sent: Tuesday, July 28, 2015 10:08 PM >> To: Golub Mikhail >> Subject: Re: [Exim-users] Exim 4.86: SSL verify error >> >> скорее всего это ошибки проверки сертификата при проведении >> встречной проверки отправителя. > > Нет, такое происходит при отправке письма на внутренний Exchange, например. > На тестовом сервере сразу три ошибки: > SSL verify error: depth=0 error=unable to get local issuer certificate > cert=... > SSL verify error: depth=0 error=certificate not trusted cert=... > SSL verify error: depth=0 error=unable to verify the first certificate > cert=... > > А так при отправке на многие хосты в Интернете. > [108.174.3.215] SSL verify error: depth=1 error=certificate not trusted > cert=/C=US/O=DigiCert Inc/CN=DigiCert Secure Server CA > [93.171.218.25] SSL verify error: depth=2 error=self signed certificate in > certificate chain cert=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate > Signing/CN=StartCom Certification Authority > [91.208.52.158] SSL verify error: depth=1 error=unable to get local issuer > certificate cert=/C=US/O=thawte, Inc./CN=thawte SSL CA - G2 > ... это понятно. я отвечал на "Ошибки в лог пишутся при приеме сообщений – или из мира, или с внутренних серверов." то, что эти ошибки появляются при отсылке писем - это понятно. но при приёме они появляться не должны. если такие сообщения об ошибках появляются при приёме письма, значит на самом деле была предпринята попытка если не отправки письма со стороны этого сервера, то по крайней мере была предпринята попытка проведения встречной проверки отправителя. > Как указывал dawnshade, параметр tls_verify_cert_hostnames пробовал добавлять > в транспорт. > Не помогает :( > И так tls_verify_cert_hostnames = * > И так tls_verify_cert_hostnames =!* tls_verify_cert_hostnames - это несколько другая история. этот параметр, судя по всему, должен отвечать за проверку соответствия имени хоста сервера значению Common Name сертификата. ну и ещё алиасы проверяются (имена хостов из поля Subject Alternative Name из X509v3 extensions сертификата). тот же WoGign подписывает сертификаты с немерянной кучей алиасов, даже из разных доменов. да и StartCom'овские сертификаты вроде идут с одним алиасом всегда. но при этом сам сертификат всё равно должен пройти проверку валидности. -- Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc ICQ UIN: 371808614 JID: corvax_at...@jabber.corvax.kiev.ua nic-handle: CRV-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Golub Mikhail wrote: > Спасибо, но не помогло. можно попробовать в параметры remote_smtp транспорта добавить: tls_try_verify_hosts = : кстати, тогда в лог не будут выводиться и сообщения о проверке сертификатов серверов отправителей при проведении встречной проверки отправителя (если, конечно, для встречной проверки используется remote_smtp транспорт). > Ошибки в лог пишутся при приеме сообщений – или из мира, или с > внутренних серверов. > > Они и на 4.85 были (так как опции сборки и конфиг те же), но в лог не > писались. > > > > Например: > > 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=unable > to get local issuer certificate cert=/C=PL/O=Unizeto Technologies > S.A./OU=Certum Certification Authority/CN=Certum Level IV CA > > 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 > error=certificate not trusted cert=/C=PL/O=Unizeto Technologies > S.A./OU=Certum Certification Authority/CN=Certum Level IV CA > > > > > > > > *From:*Exim-users [mailto:exim-users-boun...@mailground.net] *On Behalf > Of *dawnshade > *Sent:* Tuesday, July 28, 2015 10:01 AM > *To:* Exim MTA нарусском > *Subject:* Re: [Exim-users] Exim 4.86: SSL verify error > > > > 24 > <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l24>JH/06 > Verification of the server certificate for a TLS connection is now tried > > 25 > <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l25> > (but not required) by default. The verification status is now logged by > > 26 > <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l26> > default, for both outbound TLS and client-certificate supplying inbound > > 27 > <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l27> > TLS connections > > > > *tls_verify_cert_hostnames* > > > > Use: /smtp/ > > > > Type: /host//list/† > > > > Default: /*/ > > > поставить в пустую строку не поможет в транспорте? > > Вторник, 28 июля 2015, 9:50 +03:00 от Golub Mikhail <mailto:eximl...@gmn.org.ua>>: > > Доброе утро. > > Как отключить запись этого "мусора" в лог? > SSL verify error: depth=1 error=certificate not trusted cert= > SSL verify error: certificate name mismatch: > > Этотпараметрнепомог: > log_selector = -tls_certificate_verified > > P.S. В4.85 такнемусориловлог. > > -- > ГолубМихаил > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users > > > > > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users > -- Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc ICQ UIN: 371808614 JID: corvax_at...@jabber.corvax.kiev.ua nic-handle: CRV-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
> -Original Message- > From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf > Of Victor Ustugov > Sent: Tuesday, July 28, 2015 10:08 PM > To: Golub Mikhail > Subject: Re: [Exim-users] Exim 4.86: SSL verify error > > скорее всего это ошибки проверки сертификата при проведении > встречной проверки отправителя. Нет, такое происходит при отправке письма на внутренний Exchange, например. На тестовом сервере сразу три ошибки: SSL verify error: depth=0 error=unable to get local issuer certificate cert=... SSL verify error: depth=0 error=certificate not trusted cert=... SSL verify error: depth=0 error=unable to verify the first certificate cert=... А так при отправке на многие хосты в Интернете. [108.174.3.215] SSL verify error: depth=1 error=certificate not trusted cert=/C=US/O=DigiCert Inc/CN=DigiCert Secure Server CA [93.171.218.25] SSL verify error: depth=2 error=self signed certificate in certificate chain cert=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority [91.208.52.158] SSL verify error: depth=1 error=unable to get local issuer certificate cert=/C=US/O=thawte, Inc./CN=thawte SSL CA - G2 ... Как указывал dawnshade, параметр tls_verify_cert_hostnames пробовал добавлять в транспорт. Не помогает :( И так tls_verify_cert_hostnames = * И так tls_verify_cert_hostnames =!* ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
приветствую Golub Mikhail wrote: > Спасибо, но не помогло. > > Ошибки в лог пишутся при приеме сообщений – или из мира, или с > внутренних серверов. > > Они и на 4.85 были (так как опции сборки и конфиг те же), но в лог не > писались. > > > > Например: > > 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=unable > to get local issuer certificate cert=/C=PL/O=Unizeto Technologies > S.A./OU=Certum Certification Authority/CN=Certum Level IV CA > > 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 > error=certificate not trusted cert=/C=PL/O=Unizeto Technologies > S.A./OU=Certum Certification Authority/CN=Certum Level IV CA скорее всего это ошибки проверки сертификата при проведении встречной проверки отправителя. если тут же послать письмо от того же отправителя на данный сервер, то сообщение об ошибке вряд ли будет выведено в лог повторно. также при отключении встречной проверке отправителя скорее всего таких сообщений при получении писем не будет. > *From:*Exim-users [mailto:exim-users-boun...@mailground.net] *On Behalf > Of *dawnshade > *Sent:* Tuesday, July 28, 2015 10:01 AM > *To:* Exim MTA нарусском > *Subject:* Re: [Exim-users] Exim 4.86: SSL verify error > > > > 24 > <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l24>JH/06 > Verification of the server certificate for a TLS connection is now tried > > 25 > <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l25> > (but not required) by default. The verification status is now logged by > > 26 > <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l26> > default, for both outbound TLS and client-certificate supplying inbound > > 27 > <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l27> > TLS connections > > > > *tls_verify_cert_hostnames* > > > > Use: /smtp/ > > > > Type: /host//list/† > > > > Default: /*/ > > > поставить в пустую строку не поможет в транспорте? > > Вторник, 28 июля 2015, 9:50 +03:00 от Golub Mikhail <mailto:eximl...@gmn.org.ua>>: > > Доброе утро. > > Как отключить запись этого "мусора" в лог? > SSL verify error: depth=1 error=certificate not trusted cert= > SSL verify error: certificate name mismatch: > > Этотпараметрнепомог: > log_selector = -tls_certificate_verified > > P.S. В4.85 такнемусориловлог. > > -- > ГолубМихаил > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users > > > > > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users > -- Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc ICQ UIN: 371808614 JID: corvax_at...@jabber.corvax.kiev.ua nic-handle: CRV-UANIC ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Замена опции TLS на GNUTLS помогла. Использовать openssl уже нельзя? :) > -Original Message- > From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf > Of Golub Mikhail > Sent: Tuesday, July 28, 2015 2:15 PM > To: Exim MTA на русском > Subject: Re: [Exim-users] Exim 4.86: SSL verify error > > Опции сборки: > Exim version 4.86 #0 (FreeBSD 10.1) built 28-Jul-2015 10:36:45 > Copyright (c) University of Cambridge, 1995 - 2015 > (c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file, 2007 - > 2015 > Probably Berkeley DB version 1.8x (native mode) > Support for: crypteq use_setclassresources Perl Expand_dlfunc OpenSSL > Content_Scanning Old_Demime DNSSEC PRDR Experimental_SPF > Experimental_SRS > Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm dbmjz > dbmnz dnsdb dsearch ldap ldapdn ldapm mysql passwd > Authenticators: plaintext > Routers: accept dnslookup ipliteral manualroute queryprogram redirect > Transports: appendfile/mbx autoreply pipe smtp > Fixed never_users: 0 > Size of off_t: 8 > Configuration file is /usr/local/etc/exim/configure > > Т.е. использую openssl. > > > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Опции сборки: Exim version 4.86 #0 (FreeBSD 10.1) built 28-Jul-2015 10:36:45 Copyright (c) University of Cambridge, 1995 - 2015 (c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file, 2007 - 2015 Probably Berkeley DB version 1.8x (native mode) Support for: crypteq use_setclassresources Perl Expand_dlfunc OpenSSL Content_Scanning Old_Demime DNSSEC PRDR Experimental_SPF Experimental_SRS Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm dbmjz dbmnz dnsdb dsearch ldap ldapdn ldapm mysql passwd Authenticators: plaintext Routers: accept dnslookup ipliteral manualroute queryprogram redirect Transports: appendfile/mbx autoreply pipe smtp Fixed never_users: 0 Size of off_t: 8 Configuration file is /usr/local/etc/exim/configure Т.е. использую openssl. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
Спасибо, но не помогло. Ошибки в лог пишутся при приеме сообщений – или из мира, или с внутренних серверов. Они и на 4.85 были (так как опции сборки и конфиг те же), но в лог не писались. Например: 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=unable to get local issuer certificate cert=/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Level IV CA 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=certificate not trusted cert=/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Level IV CA From: Exim-users [ <mailto:exim-users-boun...@mailground.net> mailto:exim-users-boun...@mailground.net] On Behalf Of dawnshade Sent: Tuesday, July 28, 2015 10:01 AM To: Exim MTA на русском Subject: Re: [Exim-users] Exim 4.86: SSL verify error <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l24> 24 JH/06 Verification of the server certificate for a TLS connection is now tried <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l25> 25 (but not required) by default. The verification status is now logged by <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l26> 26 default, for both outbound TLS and client-certificate supplying inbound <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l27> 27 TLS connections tls_verify_cert_hostnames Use: smtp Type: host list† Default: * поставить в пустую строку не поможет в транспорте? Вторник, 28 июля 2015, 9:50 +03:00 от Golub Mikhail < <mailto:eximl...@gmn.org.ua> eximl...@gmn.org.ua>: Доброе утро. Как отключить запись этого "мусора" в лог? SSL verify error: depth=1 error=certificate not trusted cert= SSL verify error: certificate name mismatch: Этот параметр не помог: log_selector = -tls_certificate_verified P.S. В 4.85 так не мусорило в лог. -- Голуб Михаил ___ Exim-users mailing list <https://e.mail.ru/compose?To=exim%2dus...@mailground.net> Exim-users@mailground.net <http://mailground.net/mailman/listinfo/exim-users> http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.86: SSL verify error
24 JH/06 Verification of the server certificate for a TLS connection is now tried 25 (but not required) by default. The verification status is now logged by 26 default, for both outbound TLS and client-certificate supplying inbound 27 TLS connections tls_verify_cert_hostnames Use: smtp Type: host list † Default: * поставить в пустую строку не поможет в транспорте? >Вторник, 28 июля 2015, 9:50 +03:00 от Golub Mikhail : > >Доброе утро. > >Как отключить запись этого "мусора" в лог? >SSL verify error: depth=1 error=certificate not trusted cert= >SSL verify error: certificate name mismatch: > >Этот параметр не помог: >log_selector = -tls_certificate_verified > >P.S. В 4.85 так не мусорило в лог. > >-- >Голуб Михаил > >___ >Exim-users mailing list >Exim-users@mailground.net >http://mailground.net/mailman/listinfo/exim-users > ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
[Exim-users] Exim 4.86: SSL verify error
Доброе утро. Как отключить запись этого "мусора" в лог? SSL verify error: depth=1 error=certificate not trusted cert= SSL verify error: certificate name mismatch: Этот параметр не помог: log_selector = -tls_certificate_verified P.S. В 4.85 так не мусорило в лог. -- Голуб Михаил ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users