[Exim-users] Exim 4.86: SSL verify error
Golub Mikhail
Как отключить запись этого "мусора" в лог?
SSL verify error: depth=1 error=certificate not trusted cert=
SSL verify error: certificate name mismatch:
Этот параметр не помог:
log_selector = -tls_certificate_verified
P.S. В 4.85 так не мусорило в лог.
--
Голуб Михаил
_______________________________________________
Exim-users mailing list
Exim-...@mailground.net
http://mailground.net/mailman/listinfo/exim-users
dawnshade
| tls_verify_cert_hostnames | Use: smtp | Type: host list† | Default: * |
поставить в пустую строку не поможет в транспорте?
Вторник, 28 июля 2015, 9:50 +03:00 от Golub Mikhail <exim...@gmn.org.ua>:
Golub Mikhail
Спасибо, но не помогло.
Ошибки в лог пишутся при приеме сообщений – или из мира, или с внутренних серверов.
Они и на 4.85 были (так как опции сборки и конфиг те же), но в лог не писались.
Например:
2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=unable to get local issuer certificate cert=/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Level IV CA
2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=certificate not trusted cert=/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Level IV CA
Golub Mikhail
Exim version 4.86 #0 (FreeBSD 10.1) built 28-Jul-2015 10:36:45
Copyright (c) University of Cambridge, 1995 - 2015
(c) The Exim Maintainers and contributors in ACKNOWLEDGMENTS file, 2007 - 2015
Probably Berkeley DB version 1.8x (native mode)
Support for: crypteq use_setclassresources Perl Expand_dlfunc OpenSSL Content_Scanning Old_Demime DNSSEC PRDR Experimental_SPF Experimental_SRS
Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch cdb dbm dbmjz dbmnz dnsdb dsearch ldap ldapdn ldapm mysql passwd
Authenticators: plaintext
Routers: accept dnslookup ipliteral manualroute queryprogram redirect
Transports: appendfile/mbx autoreply pipe smtp
Fixed never_users: 0
Size of off_t: 8
Configuration file is /usr/local/etc/exim/configure
Т.е. использую openssl.
Golub Mikhail
Использовать openssl уже нельзя? :)
> -----Original Message-----
> From: Exim-users [mailto:exim-user...@mailground.net] On Behalf
> Of Golub Mikhail
> Sent: Tuesday, July 28, 2015 2:15 PM
> To: Exim MTA на русском
> Subject: Re: [Exim-users] Exim 4.86: SSL verify error
>
Victor Ustugov
Golub Mikhail wrote:
> Спасибо, но не помогло.
>
> Ошибки в лог пишутся при приеме сообщений – или из мира, или с
> внутренних серверов.
>
> Они и на 4.85 были (так как опции сборки и конфиг те же), но в лог не
> писались.
>
>
>
> Например:
>
> 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=unable
> to get local issuer certificate cert=/C=PL/O=Unizeto Technologies
> S.A./OU=Certum Certification Authority/CN=Certum Level IV CA
>
> 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1
> error=certificate not trusted cert=/C=PL/O=Unizeto Technologies
> S.A./OU=Certum Certification Authority/CN=Certum Level IV CA
скорее всего это ошибки проверки сертификата при проведении встречной
проверки отправителя.
если тут же послать письмо от того же отправителя на данный сервер, то
сообщение об ошибке вряд ли будет выведено в лог повторно.
также при отключении встречной проверке отправителя скорее всего таких
сообщений при получении писем не будет.
> *From:*Exim-users [mailto:exim-user...@mailground.net] *On Behalf
> Of *dawnshade
> *Sent:* Tuesday, July 28, 2015 10:01 AM
> *To:* Exim MTA нарусском
> *Subject:* Re: [Exim-users] Exim 4.86: SSL verify error
>
>
>
> 24
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l24>JH/06 Verification of the server certificate for a TLS connection is now tried
>
> 25
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l25> (but not required) by default. The verification status is now logged by
>
> 26
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l26> default, for both outbound TLS and client-certificate supplying inbound
>
> 27
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l27> TLS connections
>
>
>
> *tls_verify_cert_hostnames*
>
>
>
> Use: /smtp/
>
>
>
> Type: /host//list/†
>
>
>
> Default: /*/
>
>
> поставить в пустую строку не поможет в транспорте?
>
> Вторник, 28 июля 2015, 9:50 +03:00 от Golub Mikhail <exim...@gmn.org.ua
> <mailto:exim...@gmn.org.ua>>:
>
> Доброе утро.
>
> Как отключить запись этого "мусора" в лог?
> SSL verify error: depth=1 error=certificate not trusted cert=
> SSL verify error: certificate name mismatch:
>
> Этотпараметрнепомог:
> log_selector = -tls_certificate_verified
>
> P.S. В4.85 такнемусориловлог.
>
> --
> ГолубМихаил
>
> _______________________________________________
> Exim-users mailing list
> Exim-...@mailground.net </compose?To=Exim%2du...@mailground.net>
> http://mailground.net/mailman/listinfo/exim-users
>
>
>
>
>
> _______________________________________________
> Exim-users mailing list
> Exim-...@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
>
--
Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614 JID: corvax...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC
Golub Mikhail
> Sent: Tuesday, July 28, 2015 10:08 PM
> To: Golub Mikhail
> Subject: Re: [Exim-users] Exim 4.86: SSL verify error
>
> скорее всего это ошибки проверки сертификата при проведении
> встречной проверки отправителя.
На тестовом сервере сразу три ошибки:
SSL verify error: depth=0 error=unable to get local issuer certificate cert=...
SSL verify error: depth=0 error=certificate not trusted cert=...
SSL verify error: depth=0 error=unable to verify the first certificate cert=...
А так при отправке на многие хосты в Интернете.
[108.174.3.215] SSL verify error: depth=1 error=certificate not trusted cert=/C=US/O=DigiCert Inc/CN=DigiCert Secure Server CA
[93.171.218.25] SSL verify error: depth=2 error=self signed certificate in certificate chain cert=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
[91.208.52.158] SSL verify error: depth=1 error=unable to get local issuer certificate cert=/C=US/O=thawte, Inc./CN=thawte SSL CA - G2
...
Как указывал dawnshade, параметр tls_verify_cert_hostnames пробовал добавлять в транспорт.
Не помогает :(
И так tls_verify_cert_hostnames = *
И так tls_verify_cert_hostnames =!*
Victor Ustugov
> Спасибо, но не помогло.
можно попробовать в параметры remote_smtp транспорта добавить:
tls_try_verify_hosts = :
кстати, тогда в лог не будут выводиться и сообщения о проверке
сертификатов серверов отправителей при проведении встречной проверки
отправителя (если, конечно, для встречной проверки используется
remote_smtp транспорт).
> Ошибки в лог пишутся при приеме сообщений – или из мира, или с
> внутренних серверов.
>
> Они и на 4.85 были (так как опции сборки и конфиг те же), но в лог не
> писались.
>
>
>
> Например:
>
> 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1 error=unable
> to get local issuer certificate cert=/C=PL/O=Unizeto Technologies
> S.A./OU=Certum Certification Authority/CN=Certum Level IV CA
>
> 2015-07-28 10:16:32 [77.88.21.89] SSL verify error: depth=1
> error=certificate not trusted cert=/C=PL/O=Unizeto Technologies
> S.A./OU=Certum Certification Authority/CN=Certum Level IV CA
>
>
>
>
>
>
>
> *From:*Exim-users [mailto:exim-user...@mailground.net] *On Behalf
> Of *dawnshade
> *Sent:* Tuesday, July 28, 2015 10:01 AM
> *To:* Exim MTA нарусском
> *Subject:* Re: [Exim-users] Exim 4.86: SSL verify error
>
>
>
> 24
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l24>JH/06 Verification of the server certificate for a TLS connection is now tried
>
> 25
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l25> (but not required) by default. The verification status is now logged by
>
> 26
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l26> default, for both outbound TLS and client-certificate supplying inbound
>
> 27
> <http://git.exim.org/exim.git/blob/exim-4_86:/doc/doc-txt/ChangeLog#l27> TLS connections
>
>
>
> *tls_verify_cert_hostnames*
>
>
>
> Use: /smtp/
>
>
>
> Type: /host//list/†
>
>
>
> Default: /*/
>
>
> поставить в пустую строку не поможет в транспорте?
>
> Вторник, 28 июля 2015, 9:50 +03:00 от Golub Mikhail <exim...@gmn.org.ua
> <mailto:exim...@gmn.org.ua>>:
>
> Доброе утро.
>
> Как отключить запись этого "мусора" в лог?
> SSL verify error: depth=1 error=certificate not trusted cert=
> SSL verify error: certificate name mismatch:
>
> Этотпараметрнепомог:
> log_selector = -tls_certificate_verified
>
> P.S. В4.85 такнемусориловлог.
>
> --
> ГолубМихаил
>
> _______________________________________________
> Exim-users mailing list
> Exim-...@mailground.net </compose?To=Exim%2du...@mailground.net>
> http://mailground.net/mailman/listinfo/exim-users
>
>
>
>
>
> _______________________________________________
> Exim-users mailing list
> Exim-...@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
>
--
Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614 JID: corvax...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC
_______________________________________________
Victor Ustugov
>> -----Original Message-----
>> From: Exim-users [mailto:exim-user...@mailground.net] On Behalf
>> Of Victor Ustugov
>> Sent: Tuesday, July 28, 2015 10:08 PM
>> To: Golub Mikhail
>> Subject: Re: [Exim-users] Exim 4.86: SSL verify error
>>
>> скорее всего это ошибки проверки сертификата при проведении
>> встречной проверки отправителя.
>
> Нет, такое происходит при отправке письма на внутренний Exchange, например.
> На тестовом сервере сразу три ошибки:
> SSL verify error: depth=0 error=unable to get local issuer certificate cert=...
> SSL verify error: depth=0 error=certificate not trusted cert=...
> SSL verify error: depth=0 error=unable to verify the first certificate cert=...
>
> А так при отправке на многие хосты в Интернете.
> [108.174.3.215] SSL verify error: depth=1 error=certificate not trusted cert=/C=US/O=DigiCert Inc/CN=DigiCert Secure Server CA
> [93.171.218.25] SSL verify error: depth=2 error=self signed certificate in certificate chain cert=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
> [91.208.52.158] SSL verify error: depth=1 error=unable to get local issuer certificate cert=/C=US/O=thawte, Inc./CN=thawte SSL CA - G2
> ...
это понятно. я отвечал на "Ошибки в лог пишутся при приеме сообщений –
или из мира, или с внутренних серверов."
то, что эти ошибки появляются при отсылке писем - это понятно. но при
приёме они появляться не должны.
если такие сообщения об ошибках появляются при приёме письма, значит на
самом деле была предпринята попытка если не отправки письма со стороны
этого сервера, то по крайней мере была предпринята попытка проведения
встречной проверки отправителя.
> Как указывал dawnshade, параметр tls_verify_cert_hostnames пробовал добавлять в транспорт.
> Не помогает :(
> И так tls_verify_cert_hostnames = *
> И так tls_verify_cert_hostnames =!*
tls_verify_cert_hostnames - это несколько другая история.
этот параметр, судя по всему, должен отвечать за проверку соответствия
имени хоста сервера значению Common Name сертификата. ну и ещё алиасы
проверяются (имена хостов из поля Subject Alternative Name из X509v3
extensions сертификата). тот же WoGign подписывает сертификаты с
немерянной кучей алиасов, даже из разных доменов. да и StartCom'овские
сертификаты вроде идут с одним алиасом всегда.
но при этом сам сертификат всё равно должен пройти проверку валидности.
--
Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614 JID: corvax...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC
_______________________________________________
Golub Mikhail
> приёме они появляться не должны.
И знаю, что на Exchange письма с внешнего Exim уходят на один IP - ошибка SSL есть.
При отправке письма с Exchange во внешний мир (через шлюз Exim) письма на Exim попадают с других адресов - ошибка SSL тоже есть.
"tls_try_verify_hosts = : " - так я вообще отключу запрос на открытие TLS-сессии.
И тогда будет все чисто, но не будет TLS :)
Victor Ustugov
>> то, что эти ошибки появляются при отсылке писем - это понятно. но при
>> приёме они появляться не должны.
>
> Внутреннюю структуру своих серверов я вроде знаю :)
> И знаю, что на Exchange письма с внешнего Exim уходят на один IP - ошибка SSL есть.
>
> При отправке письма с Exchange во внешний мир (через шлюз Exim) письма на Exim попадают с других адресов - ошибка SSL тоже есть.
тогда не буду настаивать.
я лишь изложил результаты тестирования сообщений об ошибках при
включенной встречной проверке отправителя, отключенной встречной
проверке отправителя, а также при включенной проверке отправителя после
очистки кеша.
> "tls_try_verify_hosts = : " - так я вообще отключу запрос на открытие TLS-сессии.
> И тогда будет все чисто, но не будет TLS :)
при использовании на стороне отправителя "tls_try_verify_hosts = : " в
настройках транспорта remote_smtp я в логах на стороне получателя
наблюдал "P=esmtps" при доставке.
на стороне отправителя ошибок проверки сертификата сервера получателя в
логах не было.
на сервере получателя самоподписанный сертификат.
но опять же, настаивать не буду.
--
Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614 JID: corvax...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC
_______________________________________________
Le...@lena.kiev.ua
2015-07-28 21:39:28 +0300 1ZK9mc-0007bA-5S [217.69.139.150] SSL verify error: depth=2 error=unable to get local issuer certificate cert=/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
У меня FreeBSD на сервере и в домашнем компе.
В сервере Exim использует openssl из портов.
В домашнем компе установлены много портов, среди них curl и ca_root_nss.
Я скопировала из домашнего компа на сервер файл /usr/local/openssl/cert.pem
(который вроде от порта ca_root_nss, хотя pkg which этого не знает)
и рестартовала Exim: kill -HUP `cat /var/run/exim.pid`
Теперь такие сообщения в логе не появляются.
Victor Ustugov
> После апгрейда Exim до 4.86 у меня появились в mainlog при отправке на mail.ru:
>
> 2015-07-28 21:39:28 +0300 1ZK9mc-0007bA-5S [217.69.139.150] SSL verify error: depth=2 error=unable to get local issuer certificate cert=/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
>
> У меня FreeBSD на сервере и в домашнем компе.
> В сервере Exim использует openssl из портов.
> В домашнем компе установлены много портов, среди них curl и ca_root_nss.
> Я скопировала из домашнего компа на сервер файл /usr/local/openssl/cert.pem
> (который вроде от порта ca_root_nss, хотя pkg which этого не знает)
> и рестартовала Exim: kill -HUP `cat /var/run/exim.pid`
> Теперь такие сообщения в логе не появляются.
в случае самоподписанных сертификатов всё равно сообщения об ошибках
будут появляться (на сколько я понял, Михаилу и они не нужны).
--
Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614 JID: corvax...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC
_______________________________________________
Alexander Sheiko
Wednesday, July 29, 2015, 12:07:27 AM, you wrote:
Llku> У меня FreeBSD на сервере и в домашнем компе.
Llku> В сервере Exim использует openssl из портов.
Llku> Я скопировала из домашнего компа на сервер файл /usr/local/openssl/cert.pem
Копировать сертификаты не нужно, достаточно поставить порт security/ca_root_nss
и сделать:
ln -s /usr/local/share/certs/ca-root-nss.crt /usr/local/openssl/cert.pem
Если порт при установке это не предложит и не сделает сам.
Если использовать openssl из системы (чего мне хватает, зачем ещё ставить с
портов):
grep OPENSSL /etc/make.conf
OPTIONS_SET+=OPENSSL_BASE
И поставить порт security/ca_root_nss, то в нём можно поставить галочку:
Add symlink to /etc/ssl/cert.pem
Тогда получится так:
ls -l /etc/ssl/cert.pem
lrwxr-xr-x 1 root wheel 38 16 июл 19:23 /etc/ssl/cert.pem -> /usr/local/share/certs/ca-root-nss.crt
Эти корневые сертификаты будет использовать любой, собранный с системным openssl
софт, вроде wget.
--
WBR, Alexander Sheiko
Golub Mikhail
Был Exim 4.85, были такие же конгифи.
Файл /usr/local/openssl/cert.pem есть.
Ошибок в логе "SSL verify error" небыло.
OpenSSL системный, не из портов.
Порт ca_root_nss установлен был уже раньше - ca_root_nss-3.19.2
Переустановил и ca_root_nss и exim.
# ls -l /usr/local/openssl/cert.pem
-rw-r--r-- 1 root wheel 953741 29 июл 08:32 /usr/local/openssl/cert.pem
Ошибка осталась :(
Спасибо, буду искать решение.
> Sent: Wednesday, July 29, 2015 5:19 AM
> To: Exim MTA на русском
>
Golub Mikhail
> From: Exim-users [mailto:exim-user...@mailground.net] On Behalf
> Of Victor Ustugov
> To: Exim MTA на русском
>
> > После апгрейда Exim до 4.86 у меня появились в mainlog при отправке
> на mail.ru:
> >
> > 2015-07-28 21:39:28 +0300 1ZK9mc-0007bA-5S [217.69.139.150] SSL verify
> error: depth=2 error=unable to get local issuer certificate
> cert=/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
> >
> > У меня FreeBSD на сервере и в домашнем компе.
> > В сервере Exim использует openssl из портов.
> > В домашнем компе установлены много портов, среди них curl и
> ca_root_nss.
> > Я скопировала из домашнего компа на сервер файл
> /usr/local/openssl/cert.pem
> > (который вроде от порта ca_root_nss, хотя pkg which этого не знает)
> > и рестартовала Exim: kill -HUP `cat /var/run/exim.pid`
> > Теперь такие сообщения в логе не появляются.
>
> в случае самоподписанных сертификатов всё равно сообщения об
> ошибках
> будут появляться (на сколько я понял, Михаилу и они не нужны).
И в случае с Exim 4.85 ошибок небыло. Появились на 4.86.
Le...@lena.kiev.ua
Системный использует /etc/ssl/cert.pem
> Переустановил и ca_root_nss и exim.
> # ls -l /usr/local/openssl/cert.pem
> -rw-r--r-- 1 root wheel 953741 29 июл 08:32 /usr/local/openssl/cert.pem
Вот на него можно сделать ссылку.
Golub Mikhail
>
> Системный использует /etc/ssl/cert.pem
>
> > Переустановил и ca_root_nss и exim.
> > # ls -l /usr/local/openssl/cert.pem
> > -rw-r--r-- 1 root wheel 953741 29 июл 08:32 /usr/local/openssl/cert.pem
>
> Вот на него можно сделать ссылку.
/etc/ssl/cert.pem -> /usr/local/openssl/cert.pem
# ls -l /usr/local/openssl/cert.pem
-rw-r--r-- 1 root wheel 953741 29 июл 08:32 /usr/local/openssl/cert.pem
Тестирую на тестовом хосте без отправки "в мир".
На этом же хосте еще позавчера был 4.85 и ошибки в лог не писал.
Собственно, сейчас эти ошибки "SSL verify error", как я вижу, тоже проблем не вызывают - письма доставляются.
Но напрягает ...
Golub Mikhail
Ведь, как я понял, не у всех ошибки есть на 4.86.
Сейчас только эти параметры прописаны касательно TLS.
tls_certificate = цепочка сертификатов startssl.com + сертификат.
tls_privatekey = ключ.
tls_advertise_hosts = *
openssl_options = +dont_insert_empty_fragments +no_sslv3
Le...@lena.kiev.ua
> Ведь, как я понял, не у всех ошибки есть на 4.86.
А приведите строки лога полностью. Наверно, так и должно быть.
Это только предупреждения, письма проходят.
Golub Mikhail
2015-07-29 11:06:07 [89.184.69.23] SSL verify error: depth=0 error=certificate not trusted cert=/O=*.mirohost.net/OU=Domain Control Validated/CN=*.mirohost.net
2015-07-29 11:06:07 [89.184.69.23] SSL verify error: depth=0 error=unable to verify the first certificate cert=/O=*.mirohost.net/OU=Domain Control Validated/CN=*.mirohost.net
Или
2015-07-29 11:05:35 1ZKMMn-0002N6-MV [207.46.163.138] SSL verify error: depth=2 error=unable to get local issuer certificate cert=/CN=Microsoft Internet Authority
2015-07-29 11:05:35 1ZKMMn-0002N6-MV [207.46.163.138] SSL verify error: depth=2 error=certificate not trusted cert=/CN=Microsoft Internet Authority
2015-07-29 11:05:37 1ZKMMn-0002N6-MV => ****@panduit.com R=dnslookup T=remote_smtp H=panduit-com.mail.protection.outlook.com [207.46.163.138] C="250 2.6.0 ...
Да, письма проходят ...
Но такой ругани в лог на старой версии небыло.
Вот и хочу понять - кто виноват?
> -----Original Message-----
> From: Exim-users [mailto:exim-user...@mailground.net] On Behalf
> Of Le...@lena.kiev.ua
> Sent: Wednesday, July 29, 2015 11:04 AM
> To: Exim MTA на русском
> Subject: Re: [Exim-users] Exim 4.86: SSL verify error
>
Golub Mikhail
В файле src/tls-openssl.c убрал вывод в лог того, что мешало :)
367c367
< log_write(0, LOG_MAIN, "[%s] SSL verify error: depth=%d error=%s cert=%s",
---
> /* log_write(0, LOG_MAIN, "[%s] SSL verify error: depth=%d error=%s cert=%s",
372c372
< *calledp = TRUE;
---
> */ *calledp = TRUE;
441c441
< log_write(0, LOG_MAIN,
---
> /* log_write(0, LOG_MAIN,
444c444
< dn);
---
> */ dn);
--
Голуб Михаил
Alexander Sheiko
Wednesday, July 29, 2015, 5:29:58 PM, you wrote:
GM> В общем, решил пока так.
GM> В файле src/tls-openssl.c убрал вывод в лог того, что мешало
Проблему подтверждаю. Exim собран с системным OpenSSL на 9.3-RELEASE-p20.
При чём wget, собранный из портов таким же образом, на сертификаты того же
сервера не ругается.
Ваш патч почему-то не прошёл (4 вхождение), пришлось править руками.
--
WBR, Alexander Sheiko