[Eisfair] SSL Mail Telekom

Marcus Roeckrath marcus.roeckrath at gmx.de
Mi Apr 9 15:12:00 CEST 2014 

Hallo Carsten,

Carsten Weisky wrote:

> Und weiter gehts:

Die Provider haben wegen des gestern gemeldeten schweren Bugs in openssl
gerade Stress.

> Fetchmail event report per mail:
> ..
> ..
> fingerprint update startet
> 
> 
> Nochmal per mail:
> Start request of pop/imap certificates
> securepop.t-online.de:995 in progress
> securepop.t-online.de:995 Using port 995
> securepop.t-online.de:995 pop/imap certificate download error, port
> correct? Fingerprint update not possible
> securepop.t-online.de:995 in progress
> securepop.t-online.de:995 Using port 995
> securepop.t-online.de:995 pop/imap certificate download error, port
> correct? Fingerprint update not possible
> securepop.t-online.de:995 in progress
> securepop.t-online.de:995 Using port 995
> securepop.t-online.de:995 pop/imap certificate downloaded
> securepop.t-online.de:995 No fingerprint update needed
> Finished request of pop/imap certificates
> Rehashing certificates

T-Online hat auf dem Mailserver beim Pop-Dienst schon das neue Zertifikat,
aber liefert noch das alte Zertifikat aus, daher auch kein
Fingerprint-Update. 

> 2. Fetchmail event report per mail:
> ..
> ..
> fingerprint update startet
> 
> dann mail mit:
> 
> Start request of pop/imap certificates
> securepop.t-online.de:995 in progress
> securepop.t-online.de:995 Using port 995
> securepop.t-online.de:995 pop/imap certificate downloaded
> securepop.t-online.de:995 Updating all appearances of fingerprint
> securepop.t-online.de:995 93:3E:E9:1A:02:0B:6F:49:7E:C5:3B:A4:04:8F:8B:EE
> to securepop.t-online.de:995
> 3A:AF:21:D2:CB:14:32:A7:9C:C2:91:AA:3E:AF:D1:30 Rehashing certificates
> Activating new mail configuration

Jetzt steht auch das neue Zertifikat zum Download bereit und es wird der
Fingerprint upgedatet.

> Aber Emails gehen immer noch nicht raus!

Weil obiges die Mailabholung und nicht den Versand betrifft.

Im mail-addon-certs-Menu (Teil des mail-Menus) die Aktualisierung der
smtp-Zertifikate manuell durchführen.

Du wirst dafür einen cron-Job definiert haben, was hier in dr Regelnicht
greifen kann, da es sich um ein ungeplanten Paniktausch der Zertifikate
handelt.

> ?fetchmail: securepop.t-online.de fingerprints do not match!
>  
> 
> ?fetchmail: OpenSSL reported: error:14090086:SSL
> routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
>                                        ?
> ?fetchmail: SSL connection failed.
>  
> 
> ?fetchmail: socket error while fetching from
> xxx at xxx.de@securepop.t-online.de
> 
> ?fetchmail: Query status=2 (SOCKET)
> 
> Läuft alles wieder nach update der Revocation-List,aber
> Start_certs = Yes
> CERTS_CRL_CRON = yes
> CERTS_CRL_CRON_SCHEDULE =  11 2 * * 2
> und
> START_ATD = YES
> 
> was muss alles noch eingestellt werden, dass es auf Dauer läuft.

Nun mal ein wenig Geduld, die Situation ist nun mal kritisch und mögliche
Seiteneffekte nun nicht absehbar.

-- 
Gruss Marcus

Mehr Informationen über die Mailingliste Eisfair