[exim4] ungültiges Zertifikat akzeptieren

[Michael Schütz]

Hallo Gruppe,

bei mir läuft ein exim4, der eingelieferte eMails je nach Absendeadresse
weiterleitet.
Seit kurzem kann ich keine eMail mehr mit gmx-Adresse versenden. Eben
habe ich in meinem Client eine direkte Verbindung zu meinem gmx-Konto
eingerichtet und dabei festgestellt, dass das Zertifikat von gmx wohl
nicht gültig ist (für mail.gmx.net). Kann das jemand bestätigen?

Nun zu meiner eigentlichen Frage: Kann ich in der exim4-Konfiguration
irgendwo einstellen, dass das Zertifikat nichjt überprüft wird? Im
Mail-Client kann man auf "akzeptieren" klicken.

Danke,
Schultze

--
Computers are like air conditioners.
They stop working properly when opening windows.
Spiegel-Online

[Tim Ritberg]

Am 15.12.23 um 16:41 schrieb Michael Schütz:

> Hallo Gruppe,
>
> bei mir läuft ein exim4, der eingelieferte eMails je nach Absendeadresse
> weiterleitet.
> Seit kurzem kann ich keine eMail mehr mit gmx-Adresse versenden. Eben
> habe ich in meinem Client eine direkte Verbindung zu meinem gmx-Konto
> eingerichtet und dabei festgestellt, dass das Zertifikat von gmx wohl
> nicht gültig ist (für mail.gmx.net). Kann das jemand bestätigen?

Nein, hast du es mal mit openssl getestet?
https://www.stevenrombauts.be/2018/12/test-smtp-with-telnet-or-openssl/

Ich mute her, dass die ein Zwischenzertifikat fehlt.

>
> Nun zu meiner eigentlichen Frage: Kann ich in der exim4-Konfiguration
> irgendwo einstellen, dass das Zertifikat nichjt überprüft wird? Im
> Mail-Client kann man auf "akzeptieren" klicken.

Ich benutzte nur Postfix. Aber eigentlich macht SMTP opportunistic TLS.
Also daher erstmal mit openssl testen.

Tim

[Goetz Schultz]

On 15/12/2023 15:41, Michael Schütz wrote:
> Hallo Gruppe,
>
> bei mir läuft ein exim4, der eingelieferte eMails je nach Absendeadresse
> weiterleitet.
> Seit kurzem kann ich keine eMail mehr mit gmx-Adresse versenden. Eben
> habe ich in meinem Client eine direkte Verbindung zu meinem gmx-Konto
> eingerichtet und dabei festgestellt, dass das Zertifikat von gmx wohl
> nicht gültig ist (für mail.gmx.net). Kann das jemand bestätigen?
>
> Nun zu meiner eigentlichen Frage: Kann ich in der exim4-Konfiguration
> irgendwo einstellen, dass das Zertifikat nichjt überprüft wird? Im
> Mail-Client kann man auf "akzeptieren" klicken.
>
> Danke,
> Schultze
>

Hi,

falls es hilft:

Validity
Not Before: Mar 28 08:50:34 2023 GMT
Not After : Apr 1 23:59:59 2024 GMT
Subject: C=DE, O=1&1 Mail & Media GmbH, ST=Rheinland-Pfalz,
L=Montabaur, CN=mail.gmx.net


depth=2 C=DE, O=T-Systems Enterprise Services GmbH, OU=T-Systems Trust
Center, CN=T-TeleSec GlobalRoot Class 2
verify return:1
depth=1 C=DE, O=Deutsche Telekom Security GmbH, CN=Telekom Security
ServerID OV Class 2 CA
verify return:1
depth=0 C=DE, O=1&1 Mail & Media GmbH, ST=Rheinland-Pfalz, L=Montabaur,
CN=mail.gmx.net
verify return:1
---
Certificate chain
0 s:C=DE, O=1&1 Mail & Media GmbH, ST=Rheinland-Pfalz, L=Montabaur,
CN=mail.gmx.net
i:C=DE, O=Deutsche Telekom Security GmbH, CN=Telekom Security
ServerID OV Class 2 CA
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Mar 28 08:50:34 2023 GMT; NotAfter: Apr 1 23:59:59
2024 GMT
1 s:C=DE, O=Deutsche Telekom Security GmbH, CN=Telekom Security
ServerID OV Class 2 CA
i:C=DE, O=T-Systems Enterprise Services GmbH, OU=T-Systems Trust
Center, CN=T-TeleSec GlobalRoot Class 2
a:PKEY: rsaEncryption, 3072 (bit); sigalg: RSA-SHA256
v:NotBefore: Aug 2 09:16:44 2022 GMT; NotAfter: Aug 2 23:59:59
2027 GMT


Scheint also nicht am Datum zu liegen.

--

Cheers,
G.

Quis custodiet ipsos custodes?
---------------------------->8------------------------------
/"\
\ / ASCII Ribbon Campaign
X against HTML e-mail
/ \
---------------------------->8------------------------------

[Andreas Metzler]

Michael Schütz <der.sc...@web.de> wrote:
> bei mir läuft ein exim4, der eingelieferte eMails je nach Absendeadresse
> weiterleitet.
> Seit kurzem kann ich keine eMail mehr mit gmx-Adresse versenden.

Hall,
Wie äußert sich das? Log file, debug?

> Eben
> habe ich in meinem Client eine direkte Verbindung zu meinem gmx-Konto
> eingerichtet und dabei festgestellt, dass das Zertifikat von gmx wohl
> nicht gültig ist (für mail.gmx.net). Kann das jemand bestätigen?

Nein, das sieht gut aus:
-----
ametzler@argenau:~$ gnutls-cli --starttls-proto smtp mail.gmx.net
Processed 140 CA certificate(s).
Resolving 'mail.gmx.net:smtp'...
Connecting to '212.227.17.168:25'...
- Certificate type: X.509
- Got a certificate list of 2 certificates.
- Certificate[0] info:
- subject `CN=mail.gmx.net,L=Montabaur,ST=Rheinland-Pfalz,O=1&1 Mail & Media GmbH,C=DE', issuer `CN=Telekom Security ServerID OV Class 2 CA,O=Deutsche Telekom Security GmbH,C=DE', serial 0x1b5d6f9f484b823db686f1390aa98203, RSA key 2048 bits, signed using RSA-SHA256, activated `2023-03-28 08:50:34 UTC', expires `2024-04-01 23:59:59 UTC', pin-sha256="5FXVx85COiy1MWCGxt37G98yIph+Y1EQcwF2Pm5gEyg="
Public Key ID:
sha1:fd726c4ab84a9be25a4cc96a95dc9e8110ecfe1a
sha256:e455d5c7ce423a2cb5316086c6ddfb1bdf3222987e6351107301763e6e601328
Public Key PIN:
pin-sha256:5FXVx85COiy1MWCGxt37G98yIph+Y1EQcwF2Pm5gEyg=

- Certificate[1] info:
- subject `CN=Telekom Security ServerID OV Class 2 CA,O=Deutsche Telekom Security GmbH,C=DE', issuer `CN=T-TeleSec GlobalRoot Class 2,OU=T-Systems Trust Center,O=T-Systems Enterprise Services GmbH,C=DE', serial 0x0e5d298915c40431a4e1c4ca488b8ea3, RSA key 3072 bits, signed using RSA-SHA256, activated `2022-08-02 09:16:44 UTC', expires `2027-08-02 23:59:59 UTC', pin-sha256="9K4RwKQgzd+IOm+vvVnHkFwvlV12A4LOuuuJ7/2Wo8Q="
- Status: The certificate is trusted.
[...]
-----

> Nun zu meiner eigentlichen Frage: Kann ich in der exim4-Konfiguration

> irgendwo einstellen, dass das Zertifikat nicht überprüft wird? Im

> Mail-Client kann man auf "akzeptieren" klicken.

Siehe Optionen tls_try_verify_hosts und tls_verify_hosts des SMTRP
transports.

lg Andreas
--
`What a good friend you are to him, Dr. Maturin. His other friends are
so grateful to you.'
`I sew his ears on from time to time, sure'