Re: [Exim-users-de] SLS/SSL

Top Page
Delete this message
Reply to this message
Author: Jutta Wrage
Date:  
To: exim-users-de
Subject: Re: [Exim-users-de] SLS/SSL
Hallo Heiko,

Am 26.01.2020 um 22:21 schrieb Heiko Schlittermann via Exim-users-de:

>> Offenbar war der selbst zertifizierte Key nicht brauchbar.
>> Die Ursache für die Fehlermeldungen war also nicht der Client sondern Exim selbst.
>
> „Nicht brauchbar“ ist eine sehr vage Beschreibung.


Ich konnte mit dem Key keinen Connect herstellen. Unklare Ursache. Da das sowieso nur ein Workaround war, habe ich da nicht weiter nachgeforscht. Klar was, daß Exim dieses Cert lesen konnte.

> Nicht Exim ist die *Ursache*, sondern er schreibt nur, welche Probleme es gibt. Ursache sind die nicht passenden Permissions. Dafür kann der
> Exim nichts.


Nein, nicht Exim selbst sondern Die Ursache lag nicht am Mailclient sondern auf der Serverseite.

Nachdem der Server mich nicht merh wegen der Fehlversuche rauswirft (IP-Ban), habe ich auch gefunden, warum der Link auf das Cert unter /etc/letsencrypt von Exim nicht gelesen wurde:

Schon auf der Ebene ist der Zugang für Exim nicht möglich, da das Verzeichnis nur für den Owner +x ist. Und der Owner ist root.

Bis zum Ablauf des Certs in zwei Monaten geht das nun erst einmal so. Bis dahin muß ich das mal weiter inspizieren, wie man das am besten macht.

Dei Verbindungsaufnahme klappt jetzt auch mit dem alten mail.app einwandfrei. Ob es bei anderen Clients Probleme gibt, weiß ich noch nicht. Da muß ich Rückmeldungen abwarten-

Heute habe ich zusätzlich noch in Main eingefügt:

auth_advertise_hosts = ${if eq{$tls_cipher}{}{}{*}}

Damit wird verhindert, daß ein auth über eine unsichere Verbindung versucht werden kann.

in der Auth-Sektion habe ich dann jeweils
  .ifndef AUTH_SERVER_ALLOW_NOTLS_PASSWORDS
      server_advertise_condition = ${if eq{$tls_in_cipher}{}{}{*}}
  .endif
hinzugefügt.


>> Was lernen wir: doppelt verlinkte Certs und Keys mag Exim unter
>> Umständen nicht.
>
> „mag nicht“


Nun ja, siehe oben. Ich hatte die direkten Verzeichnisse und Dateirechte überprüft, aber leider lag das Problem an den Permission ganz unten. - Durchaus möglich, daß ich vergessen habe, dort nachzusehen, nachdem ich mal wieder vom Server rausgeworfen wurde und warten mußte, bis er mich wieder reinläßt.

Gruß

Jutta (Wrage)

--
http://www.witch.westfalen.de