SSC_accept error / TLS library problem (postfix)

[Ebi]

Einen wunderschönen guten Morgen!

Seit grob 3 Tagen wird mir das System-Check mit folgenden Meldungen zugeschüttet...

Jan 10 06:46:24 intranator postfix/smtpd[23643]: SSL_accept error from virus-out-st.online.no[193.212.240.200]: 0

Jan 10 06:46:24 intranator postfix/smtpd[23643]: warning: TLS library problem: 23643:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1057:SSL alert number 42:

Was ist da dran, ist es kritisch und gibt es etwas, was man dagegen / dafür tun könnte?

Liebe Grüße aus dem 12°C-sonnigen Greiz,
Jens Eberhardt

[Thomas Jarosch]

Hallo Herr Eberhardt,

der Intranator verschlüsselt die Email-Übertragung automatisch, falls beide Seiten SSL anbieten. Soweit ich das sehen kann lehnt die Gegenseite den Schlüssel des Intranators ab.

Kontrollieren Sie mal den Schlüssel unter "System > Sicherheit" der unter "SSL Server Schlüssel für Verbindungen aus dem Internet" eingestellt ist. Ist dieser Schlüssel noch gültig und enthält den richtigen externen Servernamen?

Herzliche Grüsse,
Thomas Jarosch

[Ebi]

Das Zertifikat ist noch bis April gültig... auch sonst werden keine Fehler gemeldet (auf der WebAdmin-Oberfläche)...

Wenn der Absender der Mail eine andere Mail-Domain hat, als die Domain des sendenden Servers (und dessen Zertifikat) sollte das doch keine Auswirkung haben, oder?


------------------
Ach übrigens... klicke ich auf das Lupen-Symbol hinter dem "SSL Server Schlüssel für Verbindungen aus dem Internet"-Zertifikat unter "System > Sicherheit" bekomme ich folgende Fehlermeldung der Weboberfläche:

Fehler

Folgender Fehler ist aufgetreten:

Unbekannter Fehler

Zurück zur Hauptseite

Ich denke, dass sollte sich leicht nachstellen lassen.

[Thomas Jarosch]

Das Zertifikat ist noch bis April gültig... auch sonst werden keine Fehler gemeldet (auf der WebAdmin-Oberfläche)...

Wenn der Absender der Mail eine andere Mail-Domain hat, als die Domain des sendenden Servers (und dessen Zertifikat) sollte das doch keine Auswirkung haben, oder?

Das ist richtig. Vielleicht prüft der Server jedoch, ob der Namen im Schlüssel zum Mailserver-Namen passt. Stimmt der Name überein?
Vielleicht wurde die Gegenseite so umgestellt, daß es selbstsignierte Zertifikate nicht mehr akzeptiert. Wie häufig bekommen Sie denn von dort Emails?

Ach übrigens... klicke ich auf das Lupen-Symbol hinter dem "SSL Server Schlüssel für Verbindungen aus dem Internet"-Zertifikat unter "System > Sicherheit" bekomme ich folgende Fehlermeldung der Weboberfläche:

Ich denke, dass sollte sich leicht nachstellen lassen.

Vielen Dank für den Hinweis. Er springt zu den "fremden Schlüsseln" statt zu den "eigenen Schlüsseln". Ist für's nächste Update behoben.

Herzliche Grüsse,
Thomas Jarosch

[Ebi]

Das ist richtig. Vielleicht prüft der Server jedoch, ob der Namen im Schlüssel zum Mailserver-Namen passt. Stimmt der Name überein?
Vielleicht wurde die Gegenseite so umgestellt, daß es selbstsignierte Zertifikate nicht mehr akzeptiert. Wie häufig bekommen Sie denn von dort Emails?

Name des Intranators und Name im Schlüssel stimmen nach außen hin überein. Das ist auch kein selbtsigniertes Zertifikat, sondern ein gekauftes 2-Jahres-Zertifikat durch eine öffentliche offizielle CA.

Der Mailserver, der den Fehler meldet ist mir komplett unbekannt, so dass ich da fast schon nen SPAM-Server dahinter vermute... Allerdings sind das schon so ca. 35 Meldungen dieser Art pro Tag...

Wird diese Meldung eigentlich beim Empfangen oder beim Versenden einer Nachricht durch den Intranator erzeugt?

Was passiert, wenn der Versand per SSL fehlschlägt? Tut er dann selbiges ohne SSL?

Liebe Grüße,
Jens Eberhardt

[Thomas Jarosch]

Hallo Herr Eberhardt,

Der Mailserver, der den Fehler meldet ist mir komplett unbekannt, so dass ich da fast schon nen SPAM-Server dahinter vermute... Allerdings sind das schon so ca. 35 Meldungen dieser Art pro Tag...

Kommt die Meldung auch bei anderen Servern?

Ich werde mal bei uns klären, ob wir diese Meldung in Zukunft maskieren.

Wird diese Meldung eigentlich beim Empfangen oder beim Versenden einer Nachricht durch den Intranator erzeugt?

Was passiert, wenn der Versand per SSL fehlschlägt? Tut er dann selbiges ohne SSL?

Die Meldung wird beim Empfang erzeugt. Wie Sie schon geschrieben haben sind es vermutlich Spam-Emails.

Die SSL Verschlüsselung der Übertragung ist optional. Wenn beide Seiten es unterstützen und der Austausch der Schlüssel klappt, so wird sie aktiviert.

Herzliche Grüsse,
Thomas Jarosch

[Ebi]

Hallo Herr Jarosch,

es handelt sich immer um den selben norwegischen Server. Ist auch der einzige Server, der in den Logs auftaucht... scheint also wohl sehr wahrscheinlich an der Gegenseite zu liegen.

http://www.norid.no/domenenavnbaser/...uery=online.no

Liebe Grüße,
Jens Eberhardt