[Eisfair] [MAIL] Verständnisproblem
Marcus Roeckrath
marcus.roeckrath at gmx.de
Mi Mär 5 16:43:21 CET 2014
Hallo Peter,
Peter Schauder wrote:
> Heute morgen dann Grundlagenforschung:
> Im /var/spool/exim/log/mainlog fand sich dann ein:
>
> 2014-03-05 07:43:18 1WKujH-0007JY-76 SSL verify error: depth=0
> error=CRL has expired cert=/C=DE/O=freenet.de
> GmbH/ST=Hamburg/L=Hamburg/emailAddress=abuse at freenet.de/CN=*.freenet.de
>
> CRL...da war letzten was in der Newsgroup.
Ohne gültige CRL bricht exim aus Sicherheitsdiensten die Verbindung ab.
> Du solltest das aktuellste certs-Paket installieren, den Parameter
> CERTS_CRL_CRON='yes' setzen und dann über den Menüpunkt 'Update
> revocation list(s)' die Aktualisierung der Widerrufslisten einmal
> von Hand anstoßen. Danach sollte dies zukünftig automatisch im
> Hintergrund geschehen.
>
> Blöd nur, das CERTS_CRL_CRON schon auf yes steht und an jedem 1.
> Wochentag um 15:11 Uhr den Update tun müßte. Und laut messages hat er
> das auch getan (am letzten Montag eben). Aber die Fehlermeldung
> verschwand erst, nachdem ich den Update per Menu angestoßen hatte.
Da hat es in den letzten Versionen Änderungen gegeben und daher solltest Du
unbedingt die neueste certs-Version einsetzen.
Da für einige Zertifikate die Lebensdauer der CRLs nur noch wenige Tage
beträgt, wurde die CRL-Aktualisierung intern umgestellt und zwar derart,
dass für jedes Zertifikat ein eigener AT-Job berechnet wird.
> Jetzt bleiben nur noch die Meldungen der Form:
> 2014-03-05 07:54:38 1WL5ej-0004zU-QU == xx at web.de R=smart_route
> T=remote_587 defer (-53): retry time not reached for any host
Die Mails warten auf Versand; wenn die Retry-Time erreicht wird, gehen die
auch raus.
> So, und jetzt die Fragen:
> 1. Kann die CRL Update Problematik mit der installierten 1.3.1 statt
> der neuesten 1.3.2 zutun haben?
Ja.
> 2. Was muß ich unter der "retry time" verstehen? Wird sich dieses
> Problem mit der Zeit (und wenn ja, welcher) von selbst erledigen oder
> muß ich die in der Que hängenden Mails einzeln 'resenden'
Die Zeitspanne bis zum nächsten Sendeversuch.
> 3. Gibt es einen 'Frühwarnmechanismus' für eine ablaufende CRL? Und
> wenn ja, wo?
Unnötig (s. o.).
--
Gruss Marcus
Mehr Informationen über die Mailingliste Eisfair