Ankündigung

Einklappen
Keine Ankündigung bisher.

Edomi kann keine Emails via eigenem Mailserver verschicken

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
    #1

    Edomi kann keine Emails via eigenem Mailserver verschicken

    Hallo miteinander,

    mein Edomi kann seit langer Zeit keine Mails über meinen eigenen Mailserver mehr verschicken. Ich hatte daher die Funktion mangels Zeit komplett deaktiviert, mich nun aber dem Problem wieder mal angenommen. Leider komme ich aber irgendwie gar nicht weiter.

    Konkret schreibt mir Edomi das hier ins Log:

    Code:
    Datei: /usr/local/edomi/main/include/php/incl_mail.php | Fehlercode: 2 | Zeile: 90 | stream_socket_enable_crypto(): SSL operation failed with code 1. OpenSSL Error messages:[LF]error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed ERROR
EMAIL-Fehler: Verbindung vom Host abgelehnt. TLS gescheitert. ERROR
Datei: /usr/local/edomi/main/include/php/incl_mail.php | Fehlercode: 8 | Zeile: 181 | fputs(): send of 6 bytes failed with errno=32 Broken pipe
    Und im Log des Mailservers sieht das so aus:

    Code:
    postfix/smtpd[82548]: connect from edomi.swf.lan[192.168.23.233]
postfix/smtpd[82548]: SSL_accept error from edomi.swf.lan[192.168.23.233]: -1
postfix/smtpd[82548]: warning: TLS library problem: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca:../ssl/record/rec_layer_s3.c:1544:SSL alert number 48:
postfix/smtpd[82548]: lost connection after STARTTLS from edomi.swf.lan[192.168.23.233]
postfix/smtpd[82548]: disconnect from edomi.swf.lan[192.168.23.233] ehlo=1 starttls=0/1 commands=1/2
    Im Netz habe ich gefunden, dass man bei den SSL-Options 'verify_peer' und 'verify_peer_name' auf false setzen soll. Nur sieht es so aus, als ob Edomi die Mail-Kommunikation komplett "händisch" macht.

    Irgendwelche Ideen, wie ich das in Griff bekomme?
    Kind regards,
    Yves
    Stichworte: -
    #2
    Du könntest am Mailserver in den Einstellungen ein Zertifikat für diese interne Domain generieren und angeben.
    Oder aber TSL1-1.3 deaktivieren (da du es offensichtlich eh nicht nutzt). Da weiß ich aber nicht, wie Edomi drauf reagiert...

    Kommentar

      #3
      Hi

      Zitat von givemeone Beitrag anzeigen
      Du könntest am Mailserver in den Einstellungen ein Zertifikat für diese interne Domain generieren und angeben.
      Oder aber TSL1-1.3 deaktivieren (da du es offensichtlich eh nicht nutzt). Da weiß ich aber nicht, wie Edomi drauf reagiert...
      Der Mailserver hat ein eigenes Zertifikat und damit ist die Frage wohl eher, wie ich das Edomi beibringe!? Die Verbindung wird von allen Clients via STARTTLS aufgebaut und in den Edomi-Settings ist tls auch aktiviert. Oder meinst Du etwas anderes?
      Kind regards,
      Yves

      Kommentar

        #4
        Versuch mal auf dem edomi folgende Command line
        Code:
        openssl s_client -connect Mailserver.name:25 -starttls smtp
        Klappt damit die Verbindung?

        Kommentar

          #5
          Grundsätzlich sollte PHP ja openssl verwenden, um die Verschlüsselung zu machen.
          D.h. der Client (EDOMI) verwendet den Public Key des E-Mail Servers, um die Verschlüsselung durchzuführen.
          Diesem Public Key muss der EDOMI Client vertrauen. Dies passiert dadurch, dass der Client der CA (CA-Certificate) vertraut, die den Key des Mailservers signiert hat.

          Mit dem Befehl

          Code:
          php -i | grep cafile
          findest du raus, in welcher Datei die CA Certificates stehen, denen PHP vertraut. Daran solltest du das Certificate deiner eigene CA (mit der du den Key des Mail-Servers signiert hast) anhängen.

          Code:
          echo <dein-CA-Certificate> >> <ca-file-von-oben>
          Falls dies das Problem war, sollte der Fehler eigentlich weg sein.
          Vielleicht hilft das ja ... vielleicht auch nicht
          • Likes 1

          Kommentar

            #6
            Hallo miteinander

            Zitat von maque Beitrag anzeigen
            Code:
            openssl s_client -connect Mailserver.name:25 -starttls smtp
            Klappt damit die Verbindung?
            Ja, das funktioniert problemlos. Ich bekomme mein Zertifikat gezeigt und der Output beginnt resp. endet wie folgt:

            Code:
            # openssl s_client -connect mail.swf.lan:25 -starttls smtp
CONNECTED(00000003)
...
Verify return code: 18 (self signed certificate)
---
250 CHUNKING

            Zitat von jonofe Beitrag anzeigen
            Code:
            php -i | grep cafile
            Da scheint leider gar nichts konfiguriert zu sein!? Der entsprechende Abschnitt aus dem Output sieht so aus:

            Code:
            openssl

OpenSSL support => enabled
OpenSSL Library Version => OpenSSL 1.0.2k-fips 26 Jan 2017
OpenSSL Header Version => OpenSSL 1.0.2k 26 Jan 2017
Openssl default config => /etc/pki/tls/openssl.cnf

Directive => Local Value => Master Value
openssl.cafile => no value => no value
openssl.capath => no value => no value
            Weitere Ideen?
            Kind regards,
            Yves

            Kommentar

              #7
              Zitat von starwarsfan Beitrag anzeigen
              Weitere Ideen?
              Ich habe in meiner /etc/php.ini folgendes drin:

              Code:
              openssl.cafile = /etc/ssl/certs/cacert.pem
              und

              Code:
              [root@edomi-test ~]# php -i | grep cafile
openssl.cafile => /etc/ssl/certs/cacert.pem => /etc/ssl/certs/cacert.pem
              Das könntest du mal testen. Und dann dein eigenes CA-Cert wie oben beschrieben an diese Datei anhängen.

              Kommentar

                #8
                Hoi André

                Zitat von jonofe Beitrag anzeigen
                Code:
                openssl.cafile = /etc/ssl/certs/cacert.pem
                Interessant! Hast Du das händisch eingetragen oder "war das einfach so"? Wenn letzteres, was für eine Installation hast Du laufen?

                Bei mir ist das ein LXC-Container und somit könnte es sein, dass das noch ein Fehler im Container ist.


                Zitat von jonofe Beitrag anzeigen
                Das könntest du mal testen. Und dann dein eigenes CA-Cert wie oben beschrieben an diese Datei anhängen.
                ​​​​​​​
                Werde ich tun, danke für die Idee!
                Kind regards,
                Yves

                Kommentar

                  #9
                  In meinen Edomi habe ich auch:
                  HTML-Code:
                  [root@edomi2 ~]# php -i|grep cafile
openssl.cafile => no value => no value
                  Allersdings nutzt mein Mail-Server ein offizielles Zertifikat. Ich vermute Andre hat Recht: Du musst php beibringen, Deinem self-signed Zertifikat zu vertrauen.

                  VG Matthias

                  Kommentar

                    #10
                    Zitat von starwarsfan Beitrag anzeigen
                    Hast Du das händisch eingetragen oder "war das einfach so"?
                    Das habe ich selbst eingetragen, damit ich sicher bin, welche Datei genutzt wird.
                    Diese Datei update ich regelmäßig mit dem Download von der CURL Seite (Mozilla CA Certificate Store).

                    Kommentar

                      #11
                      Hallo und guten Abend miteinander,

                      super Sache, es funktioniert (wieder)! Ich habe die Datei cacert.pem heruntergeladen, mein Zertifikat angehängt und den Pfad zur Datei wie beschrieben in der php.ini eingetragen. Und schon kann Edomi wieder Mails versenden.
                      Kind regards,
                      Yves
                      • Likes 1

                      Kommentar

                        #12
                        Schön, dass es wieder geht. Könnte sein, dass ein

                        Code:
                        yum update ca-certificates
                        die Ursache des Problems war, da so ggf. das CA Bundle überschrieben wurde, welches dein CA Root Certificate enthielt.

                        Kommentar

                          #13
                          Hey Leute, ich weiß dass das Thema schon oft behandelt wurde - doch ich bekomme es nicht hin!

                          Folgende Situation:
                          - Hatte Edomi innerhalb des Timberwolf Servers / Protanier laufen => alles lief (inkl. Mail zu Strato) bis es Performanceprobleme gab
                          - habe neuen Edomi auf Basis von Centos6.5 und dann Centos7.6 (heruntergeladen bei Edomi) als VBox VM auf einen Apple Macmini aufgesetzt

                          Nun habe ich das oben beschriebene Problem. Ich benötige den Mailversand nach extern als Alarmierung.

                          Datei: /usr/local/edomi/main/include/php/incl_mail.php | Fehlercode: 2 | Zeile: 20 | stream_socket_enable_crypto(): SSL operation failed with code 1. OpenSSL Error messages:[LF]error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version​
                          EMAIL-Fehler: Verbindung vom Host abgelehnt. TLS gescheitert.​

                          Was mache ich falsch - habe schon diverse Dinge ausprobiert!

                          Danke für eine Antwort
                          ___________________

                          Kommentar

                            #14
                            Hi

                            Zitat von Tom_swh Beitrag anzeigen
                            Was mache ich falsch - habe schon diverse Dinge ausprobiert!
                            Ganz klar: Du verwendest ein System, welches EOL ist und wo mit grosser Wahrscheinlichkeit die Zertifikate nicht mehr aktuell sind und auch nicht mehr aktualisiert werden.

                            Wenn Du auf dem Wolf schon Docker verwendet hast, dann nimm das doch wieder! Mit Rocky Linux darunter sollte es kein Zertifikatsproblem geben...

                            Du hast sogar die Wahl, Docker oder ProxMox (wobei ich nicht weiss, ob letzteres auf Fallobst funktioniert...)
                            Kind regards,
                            Yves

                            Kommentar

                              #15
                              Alles klar - Danke für die schnelle Antwort!
                              Scheint alles nicht der Weisheit letzter Schluss zu sein - behelfe mir jetzt erstmal mit nem Mailrelay auf dem Apfel.

                              Gruß Tom
                              ___________________

                              Kommentar

                              Vorherige template Weiter
                              Lädt...
                              X

                              Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                              Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                              Ich stimme zu