Smarthosteinstellungen nach providerwechsel

Andreas Schmied

unread,

Feb 24, 2016, 10:38:23 AM2/24/16

to

Hallo,

nach Providerwechsel finde ich die 'Smarhost One For All' ....N1
Einstellungen für 'Alfahosting' nicht heraus.
Ich habe aus der Doku die Variante 2 um genau zu sein.

Eisfair1 , letztes update bevor wegen XEN keine automatischen Updates
mehr gingen.

Empfang der Mails und verteilen geht.

Ich wäre für einen Tipp sehr dankbar.

--
Gruß
Andreas

Marcus Roeckrath

unread,

Feb 24, 2016, 11:31:03 AM2/24/16

to

Hallo Andreas,

[quote title=Andreas Schmied schrieb am Mi, 24 Februar 2016 16:38]

nach Providerwechsel finde ich die 'Smarhost One For All' ....N1
Einstellungen für 'Alfahosting' nicht heraus.

Ich habe aus der Doku die Variante 2 um genau zu sein.{/quote]

Dann poste doch bitte die URL, auf der wir die Daten des Providers
suchen müssen.

fetchmail funktioniert, wie ich der Mail entnehmen kann, aber Du kannst
keine Mails versenden, oder?

--

Gruß Marcus
--
Gruß Marcus

Juergen Edner

unread,

Feb 24, 2016, 11:31:08 AM2/24/16

to

Hallo Andreas,

> nach Providerwechsel finde ich die 'Smarhost One For All' ....N1
> Einstellungen für 'Alfahosting' nicht heraus.
> Ich habe aus der Doku die Variante 2 um genau zu sein.
>
> Eisfair1 , letztes update bevor wegen XEN keine automatischen Updates
> mehr gingen.

> ...

> Ich wäre für einen Tipp sehr dankbar.

damit wir hier nicht in einer Ratestunde enden wäre es hilfreich
wenn Du uns mitteilst welches Paket Du _exakt_ in welcher Version
einsetzt. Eine Aussage "letztes update bevor wegen XEN keine
automatischen Updates mehr gingen ist"wenig aussagekräftig.

Darüber hinaus wäre es hilfreich wenn Du beschreiben könntest welche
Tests Du, mit welchen Einstellungen _im Detail_ durchgeführt hast und
welche Meldungen dann _exakt_ angezeigt wurden. Ein Auszug der
relevanten SMTP-Parameter wäre ebenfalls hilfreich.
In der Dokumentation des mail-Paketes gibt es darüber hinaus den Absatz
"Die Problemanalyse". Bist Du diesem gefolgt und kannst detaillierte
Meldungen des Verbindungsaufbaus zur Verfügung stellen?

Gruß Jürgen
--
Mail: jue...@eisfair.org

Andreas Schmied

unread,

Feb 25, 2016, 9:49:28 AM2/25/16

to

Hallo,

nachdem ich eine Antwort versehentlich als PM verschickt habe nun das
ganze nochmal für alle:

unter folgender config kann ich jetzt Mails verschicken:

SMTP_SMARTHOST_ONE_FOR_ALL = yes
? SMTP_SMARTHOST_DOMAINS =
? SMTP_SMARTHOST_ROUTE_TYPE = domain
? SMTP_SMARTHOST_N = 1
? SMTP_SMARTHOST_1_HOST = alfa3056.alfahosting-server.de
? SMTP_SMARTHOST_1_AUTH_TYPE = plain
? SMTP_SMARTHOST_1_ADDR =
? SMTP_SMARTHOST_1_DOMAIN =
? SMTP_SMARTHOST_1_USER = Benutzername
? SMTP_SMARTHOST_1_PASS = ************
? SMTP_SMARTHOST_1_FORCE_AUTH = no
? SMTP_SMARTHOST_1_FORCE_TLS = ignore
? SMTP_SMARTHOST_1_PORT = 25

Port 25 war die Lösung, die mich aber nicht glücklich macht.

Hier erst einmal die funktionierenden Thunderbird smtp Einstellungen für
den direkten Versand:

server: alfa3056.alfahosting.de
Port: 465
Verbindungssicherheit: SSL/TLS
Authnetifizierungsmethode:: Passwort, normal
Benutzername: Benutzername

Den port 465 möchte ich aber gerne auch im Eisfair1 benutzen, was mit
folgender config aber nicht geht:

? SMTP_SMARTHOST_ONE_FOR_ALL = yes
? SMTP_SMARTHOST_DOMAINS =
? SMTP_SMARTHOST_ROUTE_TYPE = domain
? SMTP_SMARTHOST_N = 1
? SMTP_SMARTHOST_1_HOST = alfa3056.alfahosting-server.de
? SMTP_SMARTHOST_1_AUTH_TYPE = plain
? SMTP_SMARTHOST_1_ADDR =
? SMTP_SMARTHOST_1_DOMAIN =
? SMTP_SMARTHOST_1_USER = Benutzername
? SMTP_SMARTHOST_1_PASS = ************
? SMTP_SMARTHOST_1_FORCE_AUTH = no
? SMTP_SMARTHOST_1_FORCE_TLS = no
? SMTP_SMARTHOST_1_PORT = 465

Wobei ich mit folgenden Variablen verdachtsmässig herumprobiert hatte,
ohne genau zu wissen was ich das tue:
SMTP_SMARTHOST_1_FORCE_AUTH
SMTP_SMARTHOST_1_FORCE_TLS
SMTP_SMARTHOST_1_AUTH_TYPE

Die Logmeldung sah dann so aus:

?2016-02-25 11:47:56 Start queue run: pid=6801
?
?2016-02-25 11:47:56 1aYbpY-0008RJ-TC == xx...@xxxxx.de R=smart_route
T=remote_smtp defer (-53): retry time not reached for ?
?2016-02-25 11:47:56 End queue run: pid=6801

Der Vollständigkeit halber noch die mailversion:

mail ?mail ?1.12.2 ?stable ?2014-10-17?Mail service
? ?
?mail-addon-certs?mail ?0.2.5 ?stable ?2014-08-13?mail-addon-certs -
Certs addon for mail package? ?
?sharutils ?mail ?2.2.0 ?stable ?2014-01-03?Shar Utilities
--

Die alte XEN DomU habe ich nur genommen, weil das mit dem alten Provider
alles perfekt lief und ich dachte, ein paar Variablen anpassen und alles
geht gleich.

Kurz zusammengefasst:
Mailempfang SSL geht
Für den sicheren Mailversand über port 465 suche ich noch die Einstellungen.

Tausend Dank!

Gruß
Andreas

Juergen Edner

unread,

Feb 25, 2016, 10:54:07 AM2/25/16

to

Hallo Andreas,

> unter folgender config kann ich jetzt Mails verschicken:
>
> SMTP_SMARTHOST_ONE_FOR_ALL = yes
> ? SMTP_SMARTHOST_DOMAINS =
> ? SMTP_SMARTHOST_ROUTE_TYPE = domain
> ? SMTP_SMARTHOST_N = 1
> ? SMTP_SMARTHOST_1_HOST = alfa3056.alfahosting-server.de
> ? SMTP_SMARTHOST_1_AUTH_TYPE = plain
> ? SMTP_SMARTHOST_1_ADDR =
> ? SMTP_SMARTHOST_1_DOMAIN =
> ? SMTP_SMARTHOST_1_USER = Benutzername
> ? SMTP_SMARTHOST_1_PASS = ************
> ? SMTP_SMARTHOST_1_FORCE_AUTH = no
> ? SMTP_SMARTHOST_1_FORCE_TLS = ignore
> ? SMTP_SMARTHOST_1_PORT = 25
>
> Port 25 war die Lösung, die mich aber nicht glücklich macht.

ob Dich dies aus welchen Gründen auch immer glücklich macht oder nicht
ist in diesem Fall leider nicht von Relevanz, da über Port 25/tcp
üblicherweise weltweit alle E-Mail-Server miteinander kommunizieren.

> Hier erst einmal die funktionierenden Thunderbird smtp Einstellungen für
> den direkten Versand:
>
> server: alfa3056.alfahosting.de
> Port: 465

Meines Erachtens sollte das SMTPS-Protokoll über Port 465 nicht mehr
verwendet werden und statt dessen der E-Mail Versand mittels STARTTLS
über Port 25/tcp oder 587/tcp vorgenommen werden, denn laut Wikipedia
wurde der Port zwischenzeitlich für Video und Audio-Multicast
reserviert. Aus diesem Grund wird ein E-Mail-Empfang über diesen Port
üblicherweise auch nicht mehr akzeptiert.

> Den port 465 möchte ich aber gerne auch im Eisfair1 benutzen, was mit
> folgender config aber nicht geht:

Aha, jetzt verstehe ich worauf Du hinaus willst. Du möchtest Deine
E-Mail über eine verschlüsselte Verbindung zum Provider senden, was
jedoch auch über Port 25 problemlos klappen sollte.

Schauen wir doch erst einmal auf welchen E-Mail-spezifische Ports der
Smarthost Verbindungen entgegen nimmt:

25 port [tcp/smtp] succeeded!
110 port [tcp/pop3] succeeded!
143 port [tcp/imap2] succeeded!
465 port [tcp/smtps] succeeded!
587 port [tcp/submission] succeeded!
993 port [tcp/imap4s] succeeded!
995 port [tcp/pop3s] succeeded!

Tja, da hast Du in der Tat die freie Auswahl, da sowohl Port 25/tcp,
587/tcp und sogar der veraltete 465/tcp scheinbar noch freigeschaltet
sind.

> ?2016-02-25 11:47:56 1aYbpY-0008RJ-TC == xx...@xxxxx.de R=smart_route
> T=remote_smtp defer (-53): retry time not reached for ?
> ?2016-02-25 11:47:56 End queue run: pid=6801

Diese Meldung darfst Du in soweit ignorieren, da sie nur besagt
dass es en Problem gegeben hat, jedoch nicht welches. Um vernünftige
Fehlermeldungen angezeigt zu bekommen muss Du bei Bedarf den Debug-
Modus aktiveren.

Folgende Einstellungen müssten meines Erachtens funktionieren,
vorausgesetzt Du hast die benötigten TLS-Zertifikate herunter geladen
und installiert:

SMTP_SMARTHOST_1_HOST='alfa3056.alfahosting-server.de'
SMTP_SMARTHOST_1_AUTH_TYPE='md5'
SMTP_SMARTHOST_1_USER='<username>'
MTP_SMARTHOST_1_PASS='<password>'
SMTP_SMARTHOST_1_FORCE_AUTH='yes'
SMTP_SMARTHOST_1_FORCE_TLS='yes'
SMTP_SMARTHOST_1_PORT='' oder '25' oder '587'

Juergen Edner

unread,

Feb 25, 2016, 11:08:03 AM2/25/16

to

Hallo Andreas,

> Folgende Einstellungen müssten meines Erachtens funktionieren,
> vorausgesetzt Du hast die benötigten TLS-Zertifikate herunter geladen
> und installiert:

ich habe Dir gerade einmal die benötigten Zertifikatsdateien zugesandt.
Bitte sicher stellen, dass Du das certs-Paket installiert hast und dann
alle Dateien in /usr/local/ssl/certs speichern und folgende Befehle
absetzen:

chown root:root /usr/local/ssl/certs/*pem
chmod 0644 /usr/local/ssl/certs/*.pem
/usr/bin/ssl/c_rehash /usr/local/ssl/certs

Marcus Roeckrath

unread,

Feb 25, 2016, 11:10:03 AM2/25/16

to

Hallo Andreas,

Andreas Schmied wrote:

> unter folgender config kann ich jetzt Mails verschicken:
>
> SMTP_SMARTHOST_ONE_FOR_ALL = yes
> ? SMTP_SMARTHOST_DOMAINS =
> ? SMTP_SMARTHOST_ROUTE_TYPE = domain
> ? SMTP_SMARTHOST_N = 1
> ? SMTP_SMARTHOST_1_HOST = alfa3056.alfahosting-server.de
> ? SMTP_SMARTHOST_1_AUTH_TYPE = plain
> ? SMTP_SMARTHOST_1_ADDR =
> ? SMTP_SMARTHOST_1_DOMAIN =
> ? SMTP_SMARTHOST_1_USER = Benutzername
> ? SMTP_SMARTHOST_1_PASS = ************
> ? SMTP_SMARTHOST_1_FORCE_AUTH = no
> ? SMTP_SMARTHOST_1_FORCE_TLS = ignore
> ? SMTP_SMARTHOST_1_PORT = 25
>
> Port 25 war die Lösung, die mich aber nicht glücklich macht.

Wieso macht Dich Port 25 nicht glücklich?

Über StartTLS ginge auch da Verschlüsselung.

> Den port 465 möchte ich aber gerne auch im Eisfair1 benutzen, was mit
> folgender config aber nicht geht:
>
> ? SMTP_SMARTHOST_ONE_FOR_ALL = yes
> ? SMTP_SMARTHOST_DOMAINS =
> ? SMTP_SMARTHOST_ROUTE_TYPE = domain
> ? SMTP_SMARTHOST_N = 1
> ? SMTP_SMARTHOST_1_HOST = alfa3056.alfahosting-server.de
> ? SMTP_SMARTHOST_1_AUTH_TYPE = plain
> ? SMTP_SMARTHOST_1_ADDR =
> ? SMTP_SMARTHOST_1_DOMAIN =
> ? SMTP_SMARTHOST_1_USER = Benutzername
> ? SMTP_SMARTHOST_1_PASS = ************
> ? SMTP_SMARTHOST_1_FORCE_AUTH = no
> ? SMTP_SMARTHOST_1_FORCE_TLS = no
> ? SMTP_SMARTHOST_1_PORT = 465

Mal folgende Einstellungen verwendet?

SMTP_SMARTHOST_1_AUTH_TYPE='plain'
SMTP_SMARTHOST_1_FORCE_AUTH='yes'
SMTP_SMARTHOST_1_FORCE_TLS='yes'
SMTP_SMARTHOST_1_PORT='587'

Verwende ich bei gmx.

--
Gruss Marcus

Alexander Dahl

unread,

Feb 25, 2016, 12:23:02 PM2/25/16

to

Hei hei,

Marcus Roeckrath schrieb Donnerstag, 25. Februar 2016, 17:02 (CET):
>> Port 25 war die Lösung, die mich aber nicht glücklich macht.
>
> Wieso macht Dich Port 25 nicht glücklich?
>
> Über StartTLS ginge auch da Verschlüsselung.

Wird nicht heutzutage Port 25 nur noch für die Kommunikation zwischen
Mailservern genutzt und Mails abliefern ist auf Port 587 erwünscht? Für
die smarthost Option verhält sich der eisfair da ja wie ein MUA. Die
meisten Provider erlauben da mittlerweile auch SMTP mit TLS über Port
587 bzw. manche erzwingen das sogar.

> SMTP_SMARTHOST_1_AUTH_TYPE='plain'
> SMTP_SMARTHOST_1_FORCE_AUTH='yes'
> SMTP_SMARTHOST_1_FORCE_TLS='yes'
> SMTP_SMARTHOST_1_PORT='587'
>
> Verwende ich bei gmx.

Ah ja, verwendest Du ja auch?! ;-)

Grüße
Alex

--
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: C28E E6B9 0263 95CF 8FAF 08FA 34AD CD00 7221 5CC6

Juergen Edner

unread,

Feb 25, 2016, 12:37:47 PM2/25/16

to

Hallo Alex,

> Wird nicht heutzutage Port 25 nur noch für die Kommunikation zwischen
> Mailservern genutzt und Mails abliefern ist auf Port 587 erwünscht? Für
> die smarthost Option verhält sich der eisfair da ja wie ein MUA. Die
> meisten Provider erlauben da mittlerweile auch SMTP mit TLS über Port
> 587 bzw. manche erzwingen das sogar.

davon das der Port 587 bevorzugt genutzt werden soll habe ich auch
schon gehört. Dass einige Provider dies sogar erzwingen sollen habe
ich jedoch noch nicht gehört. Mein Provider nimmt auf dem Port 587
z.B. gar keine Verbindungen entgegen und baut generell noch auf Port 25.

Andreas Schmied

unread,

Feb 25, 2016, 6:14:52 PM2/25/16

to

Hallo zusammen

>
>> Den port 465 möchte ich aber gerne auch im Eisfair1 benutzen, was mit
>> folgender config aber nicht geht:
>
> Aha, jetzt verstehe ich worauf Du hinaus willst. Du möchtest Deine
> E-Mail über eine verschlüsselte Verbindung zum Provider senden, was
> jedoch auch über Port 25 problemlos klappen sollte.

Okay, das war mir nicht bekannt.

>
> Schauen wir doch erst einmal auf welchen E-Mail-spezifische Ports der
> Smarthost Verbindungen entgegen nimmt:
>
> 25 port [tcp/smtp] succeeded!
> 110 port [tcp/pop3] succeeded!
> 143 port [tcp/imap2] succeeded!
> 465 port [tcp/smtps] succeeded!
> 587 port [tcp/submission] succeeded!
> 993 port [tcp/imap4s] succeeded!
> 995 port [tcp/pop3s] succeeded!
>
> Tja, da hast Du in der Tat die freie Auswahl, da sowohl Port 25/tcp,
> 587/tcp und sogar der veraltete 465/tcp scheinbar noch freigeschaltet
> sind.
>

Hmm, da stehe ich jetzt auf dem Schlauch. Da meinst Du jetzt den Eisfair
und nicht den Provider?

>> ?2016-02-25 11:47:56 1aYbpY-0008RJ-TC == xx...@xxxxx.de R=smart_route
>> T=remote_smtp defer (-53): retry time not reached for ?
>> ?2016-02-25 11:47:56 End queue run: pid=6801
>
> Diese Meldung darfst Du in soweit ignorieren, da sie nur besagt
> dass es en Problem gegeben hat, jedoch nicht welches. Um vernünftige
> Fehlermeldungen angezeigt zu bekommen muss Du bei Bedarf den Debug-
> Modus aktiveren.
>

Wo aktiviert man den? Hab nix gefunden.

> Folgende Einstellungen müssten meines Erachtens funktionieren,
> vorausgesetzt Du hast die benötigten TLS-Zertifikate herunter geladen
> und installiert:
>
> SMTP_SMARTHOST_1_HOST='alfa3056.alfahosting-server.de'
> SMTP_SMARTHOST_1_AUTH_TYPE='md5'
> SMTP_SMARTHOST_1_USER='<username>'
> MTP_SMARTHOST_1_PASS='<password>'
> SMTP_SMARTHOST_1_FORCE_AUTH='yes'
> SMTP_SMARTHOST_1_FORCE_TLS='yes'
> SMTP_SMARTHOST_1_PORT='' oder '25' oder '587'

@Juergen: Danke für die Certifikate!
Ich hatte bevor ich Deine Certifikate installierte ein:
Update smtp certificates for exim
gemacht. Positive Rückmeldung kam für port 465, dann rehash...
Testmail ging aber nicht raus,

Nach der Installation Deiner Vertifikate incl. Befehle...
ging auf beiden (25 und 587) nix raus.

Nach folgender Änderung gingen die Mails dann auf beiden ports (25 und
465) erfolgreich raus:
> SMTP_SMARTHOST_1_FORCE_TLS='ignore'

Übrigens:
Bei Certificates und Fingerprints hatte ich ein Update angestossen.
Erst danach funktionierte fetchmail (bei alfahosting). Was mich
wunderte, es werden keine Fingerprints von alfahosting in die config
'eingetragen'. Wohingegen der aktuelle fingerprint bei gmail sehr wohl
drin steht.

--
Gruß
Andreas

Marcus Roeckrath

unread,

Feb 26, 2016, 2:00:08 AM2/26/16

to

Hallo Andreas,

Andreas Schmied wrote:

>> Schauen wir doch erst einmal auf welchen E-Mail-spezifische Ports der
>> Smarthost Verbindungen entgegen nimmt:
>>
>> 25 port [tcp/smtp] succeeded!
>> 110 port [tcp/pop3] succeeded!
>> 143 port [tcp/imap2] succeeded!
>> 465 port [tcp/smtps] succeeded!
>> 587 port [tcp/submission] succeeded!
>> 993 port [tcp/imap4s] succeeded!
>> 995 port [tcp/pop3s] succeeded!
>>
>> Tja, da hast Du in der Tat die freie Auswahl, da sowohl Port 25/tcp,
>> 587/tcp und sogar der veraltete 465/tcp scheinbar noch freigeschaltet
>> sind.
>>
> Hmm, da stehe ich jetzt auf dem Schlauch. Da meinst Du jetzt den Eisfair
> und nicht den Provider?

Ich denke, da hat Jürgen mal nachgeschaut, welche Ports beim Provider offen
sind.

>>> ?2016-02-25 11:47:56 1aYbpY-0008RJ-TC == xx...@xxxxx.de R=smart_route
>>> T=remote_smtp defer (-53): retry time not reached for ?
>>> ?2016-02-25 11:47:56 End queue run: pid=6801
>>
>> Diese Meldung darfst Du in soweit ignorieren, da sie nur besagt
>> dass es en Problem gegeben hat, jedoch nicht welches. Um vernünftige
>> Fehlermeldungen angezeigt zu bekommen muss Du bei Bedarf den Debug-
>> Modus aktiveren.
>>
> Wo aktiviert man den? Hab nix gefunden.

/etc/init.d/mail --debug restart

> Übrigens:
> Bei Certificates und Fingerprints hatte ich ein Update angestossen.
> Erst danach funktionierte fetchmail (bei alfahosting). Was mich
> wunderte, es werden keine Fingerprints von alfahosting in die config
> 'eingetragen'. Wohingegen der aktuelle fingerprint bei gmail sehr wohl
> drin steht.

Die Zertifikatsupdategeschichte im Mail-Paket ist meine Baustelle; bitte
poste oder schicke mir das Log /var/log/mail-addon-certs.log per PM.

--
Gruss Marcus

Juergen Edner

unread,

Feb 26, 2016, 3:58:24 AM2/26/16

to

Hallo Andreas,

>> Tja, da hast Du in der Tat die freie Auswahl, da sowohl Port 25/tcp,
>> 587/tcp und sogar der veraltete 465/tcp scheinbar noch freigeschaltet
>> sind.
>>
> Hmm, da stehe ich jetzt auf dem Schlauch. Da meinst Du jetzt den Eisfair
> und nicht den Provider?

als Smarthost bezeichnet man den Server an den Du die Nachrichten
schicken willst, also den Deines Providers. Wie sollte ich den bei
Deinem lokalen Server prüfen können welche eingehenden Ports geöffnet
sind?

>> Diese Meldung darfst Du in soweit ignorieren, da sie nur besagt
>> dass es en Problem gegeben hat, jedoch nicht welches. Um vernünftige
>> Fehlermeldungen angezeigt zu bekommen muss Du bei Bedarf den Debug-
>> Modus aktiveren.
>>
> Wo aktiviert man den? Hab nix gefunden.

Ich persönlich empfehle als erstes immer das Lesen der
Paketdokumentation. Dort existiert ein Absatz mit der Überschrift
"Die Problemanalyse" und einem Unterpunkt "Debug-Ausgaben aktivieren".
Wenn man in der grafischen Oberfläche (ECE) die Taste F4 bei der Anzeige
des Textes drückt, erhäkt man sogar einen Index um direkt
zu dem Punkt zu springen.

> @Juergen: Danke für die Certifikate!
> Ich hatte bevor ich Deine Certifikate installierte ein:
> Update smtp certificates for exim
> gemacht. Positive Rückmeldung kam für port 465, dann rehash...
> Testmail ging aber nicht raus,

Grundsätzlich solltest Du bei Tests die Mail Queue immer erst über
den Menüpunkt "Process mail queue" leeren bevor Du etwas testest.

> Nach der Installation Deiner Vertifikate incl. Befehle...
> ging auf beiden (25 und 587) nix raus.

Dann wirf bitte einen Blick in die Logdateien welche Fehlermeldungen
ausgegeben werden, damit wir nicht raten müssen. Außerdem solltest
Du gegebenenfalls wie beschrieben den Debug-Modus aktivieren um
weitere Informationen liefern zu können. Eventuell müssen ja auch
noch die Widerrufslisten aktualisiert werden.

> Nach folgender Änderung gingen die Mails dann auf beiden ports (25 und
> 465) erfolgreich raus:
>> SMTP_SMARTHOST_1_FORCE_TLS='ignore'

Ja, damit schaltest Du auf die Verwendung einer unsicheren Verbindung
um, was Du ja eigentlich nicht möchtest. Immerhin wissen wir jetzt, dass
es noch ein Problem mit den Zertifikaten oder der den Zertifikatswider-
rufslisten gibt.

> Bei Certificates und Fingerprints hatte ich ein Update angestossen.
> Erst danach funktionierte fetchmail (bei alfahosting). Was mich
> wunderte, es werden keine Fingerprints von alfahosting in die config
> 'eingetragen'. Wohingegen der aktuelle fingerprint bei gmail sehr wohl
> drin steht.

Dies ist erst einmal nebensächlich und nur zweitrangig für das aktuelle
Problem. Bitte nicht das Thema in einer Diskussion wechseln, da dies
grundsätzlich dazu führt, dass man Nachrichten später nicht mehr korrekt
zuordnen kann.

Andreas Schmied

unread,

Feb 26, 2016, 9:58:13 AM2/26/16

to

Hallo Jürgen

>
> als Smarthost bezeichnet man den Server an den Du die Nachrichten
> schicken willst, also den Deines Providers. Wie sollte ich den bei
> Deinem lokalen Server prüfen können welche eingehenden Ports geöffnet
> sind?

Okay, wieder etwas gelernt.

>
> Dann wirf bitte einen Blick in die Logdateien welche Fehlermeldungen
> ausgegeben werden, damit wir nicht raten müssen. Außerdem solltest
> Du gegebenenfalls wie beschrieben den Debug-Modus aktivieren um
> weitere Informationen liefern zu können.

Debugmodus liefert folgendes:

Exim version 4.84 uid=0 gid=0 pid=13233 D=fbb95cfd
Berkeley DB: Berkeley DB 5.3.21: (May 11, 2012)
Support for: crypteq iconv() PAM OpenSSL move_frozen_messages
Content_Scanning DKIM PRDR OCSP Experimental_DCC Experimental_Certnames
Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch dbm dbmjz
dbmnz dnsdb
Authenticators: cram_md5 plaintext spa
Routers: accept dnslookup ipliteral manualroute queryprogram redirect
Transports: appendfile/mbx autoreply pipe smtp
Size of off_t: 4
Compiler: GCC [4.5.4]
Library version: OpenSSL: Compile: OpenSSL 1.0.1i-fips 6 Aug 2014
Runtime: OpenSSL 1.0.2f-fips 28 Jan 2016
: built on: reproducible build, date
unspecified
Library version: PCRE: Compile: 8.36-RC1
Runtime: 8.36 2014-09-26
Total 8 lookups
WHITELIST_D_MACROS unset
TRUSTED_CONFIG_LIST unset
changed uid/gid: forcing real = effective
uid=0 gid=0 pid=13233
auxiliary group list: <none>
seeking password data for user "exim": cache not available
getpwnam() succeeded uid=42 gid=42
changed uid/gid: calling tls_validate_require_cipher
uid=42 gid=42 pid=13234
auxiliary group list: <none>
tls_validate_require_cipher child 13234 ended: status=0x0
openssl option, adding from 1000000: 80000bff (all)
openssl option, adding from 81000bff: 1000000 (no_sslv2)
openssl option, adding from 81000bff: 20000 (no_compression)
openssl option, adding from 81020bff: 400000 (cipher_server_preference)
configuration file is /var/spool/exim/configure
log selectors = ffffffff 7fffffff
LOG: MAIN
cwd=/tmp 8 args: /usr/local/exim/bin/exim -d -bd -oX ssmtp
-tls-on-connect -oP /var/spool/exim/exim-ssmtp-daemon.pid
trusted user
admin user
originator: uid=0 gid=0 login=root name=root
13233 daemon_smtp_port overridden by -oX:
13233 <: ssmtp
13233 listening on all interfaces (IPv4) port 465
13233 pid written to /var/spool/exim/exim-ssmtp-daemon.pid
13233 changed uid/gid: running as a daemon
13233 uid=42 gid=42 pid=13233
13233 auxiliary group list: 42
13233 LOG: MAIN
13233 exim 4.84 daemon started: pid=13233, no queue runs, listening
for SMTPS on port 465 (IPv4)
13233 set_process_info: 13233 daemon: no queue runs, listening for SMTPS
on port 465 (IPv4)
13233 daemon running with uid=42 gid=42 euid=42 egid=42
13233 Listening...

Hierbei fiel mir auf, dass grundsätzlich diese Meldung kommt, egal ob
Port 465 oder 587 gesetzt ist:
listening for SMTPS on port 465 (IPv4)

Ausserdem liegen zwei Mails in der 'queue'...

Aber vielleicht mache ich ja einen Fehler:
So bin ich vorgegangen:
mailconfig mit F10 beendet und dann den debug modus '2' SSMTP gewählt.
Dann auf einer anderen Konsole 'force queue run' gewählt.
Auf der Debugkonsole tat sich dann aber nix mehr.

Eventuell müssen ja auch
> noch die Widerrufslisten aktualisiert werden.

Da kenne ich mich gar nicht aus.

Ich hatte zwischenzeitlich versucht, auf einem alten Notebook (PIII
400MHz, 128MB RAM)zu installieren, damit ein aktuelles Eisfair zur
Verfügung steht, geht aber nicht.

--
Gruß
Andreas

Marcus Roeckrath

unread,

Feb 26, 2016, 12:10:04 PM2/26/16

to

Hallo Andreas,

Marcus Roeckrath wrote:

>>> Schauen wir doch erst einmal auf welchen E-Mail-spezifische Ports der
>>> Smarthost Verbindungen entgegen nimmt:
>>>
>>> 25 port [tcp/smtp] succeeded!
>>> 110 port [tcp/pop3] succeeded!
>>> 143 port [tcp/imap2] succeeded!
>>> 465 port [tcp/smtps] succeeded!
>>> 587 port [tcp/submission] succeeded!
>>> 993 port [tcp/imap4s] succeeded!
>>> 995 port [tcp/pop3s] succeeded!
>>>
>>> Tja, da hast Du in der Tat die freie Auswahl, da sowohl Port 25/tcp,
>>> 587/tcp und sogar der veraltete 465/tcp scheinbar noch freigeschaltet
>>> sind.
>>>
>> Hmm, da stehe ich jetzt auf dem Schlauch. Da meinst Du jetzt den Eisfair
>> und nicht den Provider?
>
> Ich denke, da hat Jürgen mal nachgeschaut, welche Ports beim Provider
> offen sind.

Und obige Ports sind nach den Hilfedokumenten auf Alfahosting auch erlaubt.

--
Gruss Marcus

Marcus Roeckrath

unread,

Feb 26, 2016, 1:50:02 PM2/26/16

to

Hallo Andreas,

Andreas Schmied wrote:

> Aber vielleicht mache ich ja einen Fehler:
> So bin ich vorgegangen:
> mailconfig mit F10 beendet und dann den debug modus '2' SSMTP gewählt.
> Dann auf einer anderen Konsole 'force queue run' gewählt.
> Auf der Debugkonsole tat sich dann aber nix mehr.

Mir ist das nicht klar, was Du gemacht hast.

--
Gruss Marcus

Andreas Schmied

unread,

Feb 26, 2016, 3:21:13 PM2/26/16

to

Hallo Marcus

okay ich versuche es einmal ausführlicher:

Ich sitze an einem Mac und greife per ssh in einem/mehreren Terminal auf
den Mailserver zu.

Im Terminal 1 mache ich:
Mail Service administration
Edit configuration (advanced)
debug=yes
F10
config aktivieren
bei der Debug Abfrage wähle ich Option '2' für SSMTP
Dann kommt die gepostete Bildschirmausgabe mit letzter Zeile:
13233 Listening...

Was mich zu der Annahme schliessen lässt: 'Der wartet noch was so passiert'

Im Terminal 2 bin ich auch eingelogt und veranlasse unter den:
Mail Tools
ein
Force queue run

Jetzt würde ich im Terminal1 (listening.....) erwarten, dass das nochmal
etwas aufläuft, tut sich aber nix.

In den letzten Zeilen der Debug ausgabe sind meiner Meinung nach schon
hinreichende Meldungen, Jürgen meinte aber, ich sollte auf alle Fälle ein
Force queue run
machen

--
Gruß
Andreas

Marcus Roeckrath

unread,

Feb 26, 2016, 3:40:02 PM2/26/16

to

Hallo Andreas,

Andreas Schmied wrote:

> Im Terminal 1 mache ich:
> Mail Service administration
> Edit configuration (advanced)
> debug=yes
> F10
> config aktivieren
> bei der Debug Abfrage wähle ich Option '2' für SSMTP

Achso, habe ich noch nie benutzt.

Nach Durchsicht des entsprechenden Skripts denke ich, du musst den Debug
Modus 1 (smtp) wählen.

Der sollte den ausgehenden Verkehr betreffen.

--
Gruss Marcus

Marcus Roeckrath

unread,

Feb 26, 2016, 4:30:05 PM2/26/16

to

Hallo Andreas,

Marcus Roeckrath wrote:

> Nach Durchsicht des entsprechenden Skripts denke ich, du musst den Debug
> Modus 1 (smtp) wählen.
>
> Der sollte den ausgehenden Verkehr betreffen.

Ansonsten ist auch /var/spool/exim/log/mainlog eine gute Anlaufstelle zur
Fehlersuche.

--
Gruss Marcus

Marcus Roeckrath

unread,

Feb 26, 2016, 4:40:02 PM2/26/16

to

Hallo Andreas,

Juergen Edner wrote:

> Immerhin wissen wir jetzt, dass
> es noch ein Problem mit den Zertifikaten oder der den Zertifikatswider-
> rufslisten gibt.

Das mail-addon-certs-Menu bietet auch eine Option die smtp-Zertifikate der
in der Mailkonfiguration eingetragenen Smarthosts abzurufen.

Möglicherweise fehlen dann aber noch Zwischen- und Rootzertifikate.

Die Kette (Chain) eines Zertifikats kannst Du Dir über den entsprechenden
Menüpunkt des Certs-Menüs ansehen. Steht bei der Kette des
Providerzertitikats am Ende nicht "End of chain" fehlt da noch etwas.

Im eisfair-Wki gibts es einen Artikel zur Vervollständigung einer
Zertifikatskette:

https://ssl.nettworks.org/wiki/pages/viewpage.action?pageId=19824666

--
Gruss Marcus

Andreas Schmied

unread,

Feb 27, 2016, 1:03:10 PM2/27/16

to

Hallo Marcus

Am 26.02.16 um 21:39 schrieb Marcus Roeckrath:

> Hallo Andreas,
>
> Andreas Schmied wrote:
>
>> Im Terminal 1 mache ich:
>> Mail Service administration
>> Edit configuration (advanced)
>> debug=yes
>> F10
>> config aktivieren
>> bei der Debug Abfrage wähle ich Option '2' für SSMTP
>
> Achso, habe ich noch nie benutzt.
>
> Nach Durchsicht des entsprechenden Skripts denke ich, du musst den Debug
> Modus 1 (smtp) wählen.
>

Da habe ich offensichtlich eine Verständnisschwierigkeit:
Ich dachte, wenn ich den (nicht funktionierenden) verschlüsselten
Verkehr beobachten will, muss ich SSMTP wählen.

> Der sollte den ausgehenden Verkehr betreffen.
>

--

Gruß
Andreas

Marcus Roeckrath

unread,

Feb 27, 2016, 2:10:02 PM2/27/16

to

Hallo Andreas,

Andreas Schmied wrote:

>>> bei der Debug Abfrage wähle ich Option '2' für SSMTP
>>
>> Achso, habe ich noch nie benutzt.
>>
>> Nach Durchsicht des entsprechenden Skripts denke ich, du musst den Debug
>> Modus 1 (smtp) wählen.
>>
> Da habe ich offensichtlich eine Verständnisschwierigkeit:
> Ich dachte, wenn ich den (nicht funktionierenden) verschlüsselten
> Verkehr beobachten will, muss ich SSMTP wählen.
>
>> Der sollte den ausgehenden Verkehr betreffen.

IMHO den eingehenden, ausgehend wäre debug 1 (smtp) zu nehmen.

--
Gruss Marcus

Marcus Roeckrath

unread,

Feb 29, 2016, 3:20:03 PM2/29/16

to

Hallo Jürgen,

Juergen Edner wrote:

>>> Diese Meldung darfst Du in soweit ignorieren, da sie nur besagt
>>> dass es en Problem gegeben hat, jedoch nicht welches. Um vernünftige
>>> Fehlermeldungen angezeigt zu bekommen muss Du bei Bedarf den Debug-
>>> Modus aktiveren.

Ich fasse mal ein paar Dinge nach Durchsicht der Konfig und des mainlogs
zusammen.

1. Konfiguration

SMTP_QUALIFY_DOMAIN='lan'
SMTP_HOSTNAME='eis88.lan'

Host ist wohl eis88.home.lan

SMTP_SERVER_SSMTP='yes'

SMTP_LOCAL_DOMAIN_N='4'
SMTP_LOCAL_DOMAIN_1='@'
SMTP_LOCAL_DOMAIN_2='localhost'
SMTP_LOCAL_DOMAIN_3='home.lan'
SMTP_LOCAL_DOMAIN_4='lan'

SMTP_SMARTHOST_ONE_FOR_ALL='yes'
SMTP_SMARTHOST_DOMAINS=''
SMTP_SMARTHOST_ROUTE_TYPE='domain'
SMTP_SMARTHOST_N='1'
SMTP_SMARTHOST_1_HOST='alfa3056.alfahosting-server.de'
SMTP_SMARTHOST_1_AUTH_TYPE='md5'
SMTP_SMARTHOST_1_ADDR=''
SMTP_SMARTHOST_1_DOMAIN=''
SMTP_SMARTHOST_1_USER='web1049p1'
SMTP_SMARTHOST_1_PASS='*xxxxxxxxxx*'
SMTP_SMARTHOST_1_FORCE_AUTH='yes'
SMTP_SMARTHOST_1_FORCE_TLS='yes'
SMTP_SMARTHOST_1_PORT='25'

SMTP_OUTGOING_ADDRESSES_N='0'

Nun einige Meldungen aus dem exim mainlog:

2016-02-29 19:20:18 1aaPBb-000678-Bc H=alfa3056.alfahosting-server.de
[109.237.140.26] TLS error on co02001002:system library:fopen:No such file
or directory
2016-02-29 19:20:18 1aaPBb-000678-Bc == beste...@montforterhof.de
R=smart_route T=remote_smtp defer (-37) H=alfa3056.alfahosting-server.de
[109.237.140.26]: failure while setting up TLS se
ssion

Wieso wird das - scheinbar nicht vorhandene - lokale exim-Zertifikat
gegenüber dem externen Provider benutzt?

2016-02-29 19:56:30 no IP address found for host eis88.lan (during SMTP
connection from macbook-wlan.fritz.box [192.168.1.101])
2016-02-29 19:56:30 1aaSze-0001zv-RV <= andreas...@t-online.de
H=macbook-wlan.fritz.box [192.168.1.101] P=esmtpa A=fixed_cram:andreas
S=624 id=56D492A7...@t-online.de

eis88.lan kann nicht aufgelöst werden; die Clients sind in fritz.box.

Hat das eine Auswirkung?

Folgendes sieht doch nach gelungener gesicherter Übertragung aus, wobei ich
die Zeilen mit dem t-online-Server noch nicht verstehe:

2016-02-29 15:46:24 1aaP5c-0005D8-5P <= andreas...@montforterhof.de
H=macbook-wlan.fritz.box (macbook.fritz.box) [192.168.1.101] P=esmtpa
A=fixed_cram:andreas S=635 id=56D45809...@montforterhof.de
2016-02-29 15:47:54 1aaP5c-0005D8-5P H=sfwdallmx.t-online.de
[194.25.134.46]: Remote host closed connection in response to initial
connection
2016-02-29 15:47:54 1aaP5c-0005D8-5P == beste...@montforterhof.de
R=smart_route T=remote_smtp defer (-18) H=sfwdallmx.t-online.de
[194.25.134.46]: Remote host closed connection in response to initial
connection
2016-02-29 15:50:44 1aaP5c-0005D8-5P => beste...@montforterhof.de
R=smart_route T=remote_smtp H=alfa3056.alfahosting-server.de
[109.237.140.26] X=TLSv1:DHE-RSA-AES256-SHA:256 CV=yes DN="/OU=Domain
Control Validated/OU=Hosted by Alfahosting GmbH/OU=PositiveSSL
Wildcard/CN=*.alfahosting-server.de" A=login C="250 2.0.0 Ok: queued as
233E72A38100"
2016-02-29 15:50:44 1aaP5c-0005D8-5P Completed

Sagt Dir das was?

--
Gruss Marcus

Juergen Edner

unread,

Mar 1, 2016, 4:48:38 AM3/1/16

to

Hallo Marcus,

> 2016-02-29 19:20:18 1aaPBb-000678-Bc H=alfa3056.alfahosting-server.de
> [109.237.140.26] TLS error on co02001002:system library:fopen:No such file
> or directory
> 2016-02-29 19:20:18 1aaPBb-000678-Bc == beste...@montforterhof.de
> R=smart_route T=remote_smtp defer (-37) H=alfa3056.alfahosting-server.de
> [109.237.140.26]: failure while setting up TLS session

ich kann hier noch keinen Bezug auf ein lokales exim-Zertifikat sehen,
da ein debug-Trace bis dato nicht zur Verfügung gestellt wurde.

> 2016-02-29 19:56:30 no IP address found for host eis88.lan (during SMTP
> connection from macbook-wlan.fritz.box [192.168.1.101])
> 2016-02-29 19:56:30 1aaSze-0001zv-RV <= andreas...@t-online.de
> H=macbook-wlan.fritz.box [192.168.1.101] P=esmtpa A=fixed_cram:andreas
> S=624 id=56D492A7...@t-online.de
>
> eis88.lan kann nicht aufgelöst werden; die Clients sind in fritz.box.
>
> Hat das eine Auswirkung?

Solange er lokal noch E-Mail versenden kann, sehe ich hier keinen
Handlungsbedarf. Wenn man im Netz nur eine Fritzbox verwendet, bleibt
meines Erachtens nur die Standarddomain der Fritzbox zu verwenden oder
aber mit dem DNS-Rebind-Schutz herum zu experimentieren.

https://ansas-meyer.de/programmierung/betriebssysteme/eigene-subdomain-fritzbox-private-ip/

> Folgendes sieht doch nach gelungener gesicherter Übertragung aus, wobei ich
> die Zeilen mit dem t-online-Server noch nicht verstehe:
>
> 2016-02-29 15:46:24 1aaP5c-0005D8-5P <= andreas...@montforterhof.de
> H=macbook-wlan.fritz.box (macbook.fritz.box) [192.168.1.101] P=esmtpa
> A=fixed_cram:andreas S=635 id=56D45809...@montforterhof.de
> 2016-02-29 15:47:54 1aaP5c-0005D8-5P H=sfwdallmx.t-online.de
> [194.25.134.46]: Remote host closed connection in response to initial
> connection
> 2016-02-29 15:47:54 1aaP5c-0005D8-5P == beste...@montforterhof.de
> R=smart_route T=remote_smtp defer (-18) H=sfwdallmx.t-online.de
> [194.25.134.46]: Remote host closed connection in response to initial
> connection
> 2016-02-29 15:50:44 1aaP5c-0005D8-5P => beste...@montforterhof.de
> R=smart_route T=remote_smtp H=alfa3056.alfahosting-server.de
> [109.237.140.26] X=TLSv1:DHE-RSA-AES256-SHA:256 CV=yes DN="/OU=Domain
> Control Validated/OU=Hosted by Alfahosting GmbH/OU=PositiveSSL
> Wildcard/CN=*.alfahosting-server.de" A=login C="250 2.0.0 Ok: queued as
> 233E72A38100"
> 2016-02-29 15:50:44 1aaP5c-0005D8-5P Completed
>
> Sagt Dir das was?

Es scheint fast so, als ob erst versucht wurde eine Nachricht direkt
an den T-Online-Host zu versenden. Aber auf die Gefahr hin mich zu
wiederholen, die Details kann man nur korrekt sehen, wenn man einen
vernünftigen Debug-Trace eines Versendevorgangs sieht.

Marcus Roeckrath

unread,

Mar 1, 2016, 5:14:43 AM3/1/16

to

Hallo Jürgen,

Juergen Edner schrieb am Di, 01 März 2016 10:48

> > 2016-02-29 19:20:18 1aaPBb-000678-Bc
> > H=alfa3056.alfahosting-server.de
> > [109.237.140.26] TLS error on co02001002:system
> > library:fopen:No such file
> > or directory
> > 2016-02-29 19:20:18 1aaPBb-000678-Bc ==
> > beste...@montforterhof.de
> > R=smart_route T=remote_smtp defer (-37)
> > H=alfa3056.alfahosting-server.de
> > [109.237.140.26]: failure while setting up TLS session
>
> ich kann hier noch keinen Bezug auf ein lokales exim-Zertifikat
> sehen,
> da ein debug-Trace bis dato nicht zur Verfügung gestellt wurde.

Kannst Du so auch nicht; wie ich jetzt sehe, ist der entscheidende Teil
beim Copy 'n Paste verloren gegangen.

Da ich gerade auf der Arbeit bin, kann ich das erst heute nachmittag
korrekt posten.
--
Gruß Marcus

Andreas Schmied

unread,

Mar 1, 2016, 6:47:28 AM3/1/16

to

Hallo zusammen,

jetzt kommt ein bisschen was, hoff das ist okay so.

Fritzbox:
die domain '.fritz.box' bekomme ich nicht geändert, bzw habe keinen
gefunden, dem das gelungen ist. War aber schon immer so.

Ausgangssituation:
Komplett neu aufgesetztes aktuelles Eisfair1 mit mail und certs
keine offenen cerificate chains
fetchmail funktioniert (alle mails von Aussen werden intern richtig
verteilt)

Erst ging gar nichts mehr, weder mit noch ohne Verschlüsselung.
Dann habe ich folgendes geändert:

SMTP_SMARTHOST_1_HOST = 109.237.140.26
▒

Hier habe ich die IP Adresse eingesetzt

│ SMTP_SMARTHOST_1_AUTH_TYPE = plain
▒

Hier von md5 nach plain geändert

│ SMTP_SMARTHOST_1_ADDR
= ▒
│ SMTP_SMARTHOST_1_DOMAIN =
▒
│ SMTP_SMARTHOST_1_USER = web1049p1
▒
│ SMTP_SMARTHOST_1_PASS = ************
▒
│ SMTP_SMARTHOST_1_FORCE_AUTH= no
▒
│ SMTP_SMARTHOST_1_FORCE_TLS = no
▒
│ SMTP_SMARTHOST_1_PORT = 25
▒
│

Danach gingen alle mails in der queue raus

Dann habe ich wieder
SMTP_SMARTHOST_1_FORCE_TLS ='yes'
gesetzt.

Mail ging nicht raus.

Wieder :
SMTP_SMARTHOST_1_FORCE_TLS ='no'

Jetzt ging seltsamerweise erst einmal wieder nix raus.
force queue run....
nix ging

5 min gewartet
force queue run...
weg warn die mails

Was mir dabei auffiel:
wenn ich mails in der queue liegen hatte und ich
'force queue run' machte und sofort wieder 'press ENTER' erschien,
dann gingen die mails nicht raus,
wenn aber nach 'force queue run' aber ein kleiner Moment verging bis
'press ENTER' erschien, dann waren immer alle raus gegangen.

Hier das Log:
Wenn ich das richtig interpretiere...
vorne die Uhrzeiten

11:38 gingen die mails raus
11:40:23 sendeversuch mit TLS
exim.pem?????
11:42 wieder ohne TLS, gingen aber nicht raus

2016-03-01 11:34:53 End queue run: pid=29796
2016-03-01 11:38:30 exim 4.86 daemon started: pid=31659, -q30m,
listening for SMTP on port 25 (IPv4) port 587 (IPv4)
2016-03-01 11:38:30 Start queue run: pid=31661
2016-03-01 11:38:30 1aags0-0004Mg-P7 [109.237.140.26] SSL verify error:
certificate name mismatch: "/OU=Domain Control Validated/OU=Hosted by
Alfahosting GmbH/OU=PositiveSSL Wildcard/CN=*.alfahosting-server.de"
2016-03-01 11:38:31 1aags0-0004Mg-P7 => beste...@montforterhof.de
R=smart_route T=remote_smtp H=109.237.140.26 [109.237.140.26]
X=TLSv1:DHE-RSA-AES256-SHA:256 CV=no DN="/OU=Domain Control

Validated/OU=Hosted by Alfahosting GmbH/OU=PositiveSSL
Wildcard/CN=*.alfahosting-server.de" A=login C="250 2.0.0 Ok: queued as

C779B2A38170"
2016-03-01 11:38:31 1aags0-0004Mg-P7 Completed
2016-03-01 11:38:31 1aagti-0004k7-2I [109.237.140.26] SSL verify error:
certificate name mismatch: "/OU=Domain Control Validated/OU=Hosted by
Alfahosting GmbH/OU=PositiveSSL Wildcard/CN=*.alfahosting-server.de"
2016-03-01 11:38:32 1aagti-0004k7-2I => beste...@montforterhof.de
R=smart_route T=remote_smtp H=109.237.140.26 [109.237.140.26]
X=TLSv1:DHE-RSA-AES256-SHA:256 CV=no DN="/OU=Domain Control

Validated/OU=Hosted by Alfahosting GmbH/OU=PositiveSSL
Wildcard/CN=*.alfahosting-server.de" A=login C="250 2.0.0 Ok: queued as

DA43B2A381A1"
2016-03-01 11:38:32 1aagti-0004k7-2I Completed
2016-03-01 11:38:32 1aaSrI-0001si-7b [109.237.140.26] SSL verify error:
certificate name mismatch: "/OU=Domain Control Validated/OU=Hosted by
Alfahosting GmbH/OU=PositiveSSL Wildcard/CN=*.alfahosting-server.de"
2016-03-01 11:38:33 1aaSrI-0001si-7b => marcus.r...@gmx.de
R=smart_route T=remote_smtp H=109.237.140.26 [109.237.140.26]
X=TLSv1:DHE-RSA-AES256-SHA:256 CV=no DN="/OU=Domain Control

Validated/OU=Hosted by Alfahosting GmbH/OU=PositiveSSL
Wildcard/CN=*.alfahosting-server.de" A=login C="250 2.0.0 Ok: queued as

076312A380BA"
2016-03-01 11:38:33 1aaSrI-0001si-7b Completed
2016-03-01 11:38:33 1aagxm-0005SU-1t [109.237.140.26] SSL verify error:
certificate name mismatch: "/OU=Domain Control Validated/OU=Hosted by
Alfahosting GmbH/OU=PositiveSSL Wildcard/CN=*.alfahosting-server.de"
2016-03-01 11:38:34 1aagxm-0005SU-1t => beste...@montforterhof.de
R=smart_route T=remote_smtp H=109.237.140.26 [109.237.140.26]
X=TLSv1:DHE-RSA-AES256-SHA:256 CV=no DN="/OU=Domain Control

Validated/OU=Hosted by Alfahosting GmbH/OU=PositiveSSL
Wildcard/CN=*.alfahosting-server.de" A=login C="250 2.0.0 Ok: queued as

220872A380BA"
2016-03-01 11:38:34 1aagxm-0005SU-1t Completed
2016-03-01 11:38:34 1aahYw-0005ul-SE [109.237.140.26] SSL verify error:
certificate name mismatch: "/OU=Domain Control Validated/OU=Hosted by
Alfahosting GmbH/OU=PositiveSSL Wildcard/CN=*.alfahosting-server.de"
2016-03-01 11:38:35 1aahYw-0005ul-SE => beste...@montforterhof.de
R=smart_route T=remote_smtp H=109.237.140.26 [109.237.140.26]
X=TLSv1:DHE-RSA-AES256-SHA:256 CV=no DN="/OU=Domain Control

Validated/OU=Hosted by Alfahosting GmbH/OU=PositiveSSL
Wildcard/CN=*.alfahosting-server.de" A=login C="250 2.0.0 Ok: queued as

31E462A38170"
2016-03-01 11:38:35 1aahYw-0005ul-SE Completed
2016-03-01 11:38:35 1aaSze-0001zv-RV [109.237.140.26] SSL verify error:
certificate name mismatch: "/OU=Domain Control Validated/OU=Hosted by
Alfahosting GmbH/OU=PositiveSSL Wildcard/CN=*.alfahosting-server.de"
2016-03-01 11:38:36 1aaSze-0001zv-RV => marcus.r...@gmx.de
R=smart_route T=remote_smtp H=109.237.140.26 [109.237.140.26]
X=TLSv1:DHE-RSA-AES256-SHA:256 CV=no DN="/OU=Domain Control

Validated/OU=Hosted by Alfahosting GmbH/OU=PositiveSSL
Wildcard/CN=*.alfahosting-server.de" A=login C="250 2.0.0 Ok: queued as

3DA7F2A381A4"
2016-03-01 11:38:36 1aaSze-0001zv-RV Completed
2016-03-01 11:38:36 End queue run: pid=31661
2016-03-01 11:38:37 1aahhM-0008Fn-V2 <= andreas...@montforterhof.de
H=localhost (eis88.home.lan) [127.0.0.1] P=esmtp S=1579
2016-03-01 11:38:37 1aahhM-0008Fn-V2 => schmied <schmied@lan>
R=localuser T=local_delivery
2016-03-01 11:38:37 1aahhM-0008Fn-V2 Completed
2016-03-01 11:38:43 Start queue run: pid=31771
2016-03-01 11:38:43 End queue run: pid=31771
2016-03-01 11:39:54 exim 4.86 daemon started: pid=663, -q30m, listening
for SMTP on port 25 (IPv4) port 587 (IPv4)
2016-03-01 11:39:55 Start queue run: pid=665
2016-03-01 11:39:55 End queue run: pid=665
2016-03-01 11:40:02 1aahik-0000BN-7z <= andreas...@montforterhof.de
H=localhost (eis88.home.lan) [127.0.0.1] P=esmtp S=1579
2016-03-01 11:40:02 1aahik-0000BN-7z => schmied <schmied@lan>
R=localuser T=local_delivery
2016-03-01 11:40:02 1aahik-0000BN-7z Completed
2016-03-01 11:40:02 1aahik-0000BN-HU <= andreas...@montforterhof.de
H=localhost (eis88.home.lan) [127.0.0.1] P=esmtp S=1579
2016-03-01 11:40:02 1aahik-0000BN-HU => schmied <schmied@lan>
R=localuser T=local_delivery
2016-03-01 11:40:02 1aahik-0000BN-HU Completed
2016-03-01 11:40:02 1aahik-0000BN-Qi <= andreas...@t-online.de
H=localhost (eis88.home.lan) [127.0.0.1] P=esmtp S=1562
2016-03-01 11:40:03 1aahik-0000BN-Qi => schmied <schmied@lan>
R=localuser T=local_delivery
2016-03-01 11:40:03 1aahik-0000BN-Qi Completed
2016-03-01 11:40:23 1aahj5-0000Bw-82 <= andreas...@montforterhof.de
H=macbook-wlan.fritz.box [192.168.1.101] P=esmtp S=622
id=56D56FDD...@montforterhof.de
2016-03-01 11:40:23 1aahj5-0000Bw-82 H=109.237.140.26 [109.237.140.26]
TLS error on connection (SSL_CTX_use_certificate_chain_file
file=/usr/local/ssl/certs/exim.pem): error:02001002:system

library:fopen:No such file or directory

2016-03-01 11:40:23 1aahj5-0000Bw-82 == beste...@montforterhof.de
R=smart_route T=remote_smtp defer (-37) H=109.237.140.26

[109.237.140.26]: failure while setting up TLS session

2016-03-01 11:42:44 exim 4.86 daemon started: pid=2235, -q30m, listening
for SMTP on port 25 (IPv4) port 587 (IPv4)
2016-03-01 11:42:44 Start queue run: pid=2237
2016-03-01 11:42:44 1aahj5-0000Bw-82 == beste...@montforterhof.de
R=smart_route T=remote_smtp defer (-53): retry time not reached for any host
2016-03-01 11:42:44 End queue run: pid=2237
2016-03-01 11:43:04 Start queue run: pid=2495
2016-03-01 11:43:04 1aahj5-0000Bw-82 == beste...@montforterhof.de
R=smart_route T=remote_smtp defer (-53): retry time not reached for any host
2016-03-01 11:43:04 End queue run: pid=2495
2016-03-01 11:46:39 Start queue run: pid=2907
2016-03-01 11:46:39 1aahj5-0000Bw-82 == beste...@montforterhof.de
R=smart_route T=remote_smtp defer (-53): retry time not reached for any host
2016-03-01 11:46:39 End queue run: pid=2907

--
Gruß
Andreas

Andreas Schmied

unread,

Mar 1, 2016, 6:58:58 AM3/1/16

to

Hallo zusammen,

ein weiterer mainlog Auszug mit:
FORCE TLS = 'no'

laut Docu wird dann ein verschlüsselter Aufbau versucht und das glaube
ich sieht man hier auch:

2016-03-01 12:39:32 1aaieJ-0003dI-Sp [109.237.140.26] SSL verify error:

certificate name mismatch: "/OU=Domain Control Validated/OU=Hosted by
Alfahosting GmbH/OU=PositiveSSL Wildcard/CN=*.alfahosting-server.de"

2016-03-01 12:39:33 1aaieJ-0003dI-Sp => andreas...@t-online.de

name mismatch?
Ich habe ein vollständiges alfahosting-server.de certificate

Hier das komplette mainlog
2016-03-01 12:37:05 1aaibx-0003bj-AF Completed
2016-03-01 12:37:27 1aaicJ-0003cC-EI <= andreas...@t-online.de
H=hp-workpad.fritz.box [192.168.1.102] P=esmtp S=612
id=56D57D3D...@t-online.de
2016-03-01 12:37:28 1aaicJ-0003cC-EI [109.237.140.26] SSL verify error:

certificate name mismatch: "/OU=Domain Control Validated/OU=Hosted by
Alfahosting GmbH/OU=PositiveSSL Wildcard/CN=*.alfahosting-server.de"

2016-03-01 12:37:31 1aaicJ-0003cC-EI => andreas...@t-online.de

R=smart_route T=remote_smtp H=109.237.140.26 [109.237.140.26]
X=TLSv1:DHE-RSA-AES256-SHA:256 CV=no DN="/OU=Domain Control
Validated/OU=Hosted by Alfahosting GmbH/OU=PositiveSSL
Wildcard/CN=*.alfahosting-server.de" A=login C="250 2.0.0 Ok: queued as

1E96B2A380BA"
2016-03-01 12:37:31 1aaicJ-0003cC-EI Completed
2016-03-01 12:38:33 1aaidN-0003dB-CA <= andreas...@t-online.de
H=hp-workpad.fritz.box [192.168.1.102] P=esmtp S=612
id=56D57D7F...@t-online.de
2016-03-01 12:38:33 1aaidN-0003dB-CA [109.237.140.26] SSL verify error:

certificate name mismatch: "/OU=Domain Control Validated/OU=Hosted by
Alfahosting GmbH/OU=PositiveSSL Wildcard/CN=*.alfahosting-server.de"

2016-03-01 12:38:34 1aaidN-0003dB-CA => andreas...@t-online.de

R=smart_route T=remote_smtp H=109.237.140.26 [109.237.140.26]
X=TLSv1:DHE-RSA-AES256-SHA:256 CV=no DN="/OU=Domain Control
Validated/OU=Hosted by Alfahosting GmbH/OU=PositiveSSL
Wildcard/CN=*.alfahosting-server.de" A=login C="250 2.0.0 Ok: queued as

E96042A38100"
2016-03-01 12:38:34 1aaidN-0003dB-CA Completed
2016-03-01 12:39:31 1aaieJ-0003dI-Sp <= andreas...@montforterhof.de
H=macbook-wlan.fritz.box [192.168.1.101] P=esmtp S=650
id=56D57DBA...@montforterhof.de
2016-03-01 12:39:32 1aaieJ-0003dI-Sp [109.237.140.26] SSL verify error:

certificate name mismatch: "/OU=Domain Control Validated/OU=Hosted by
Alfahosting GmbH/OU=PositiveSSL Wildcard/CN=*.alfahosting-server.de"

2016-03-01 12:39:33 1aaieJ-0003dI-Sp => andreas...@t-online.de

R=smart_route T=remote_smtp H=109.237.140.26 [109.237.140.26]
X=TLSv1:DHE-RSA-AES256-SHA:256 CV=no DN="/OU=Domain Control
Validated/OU=Hosted by Alfahosting GmbH/OU=PositiveSSL
Wildcard/CN=*.alfahosting-server.de" A=login C="250 2.0.0 Ok: queued as

71D122A380BA"
2016-03-01 12:39:33 1aaieJ-0003dI-Sp Completed
2016-03-01 12:40:07 1aaiet-0003eK-Ow <= andreas...@t-online.de
H=localhost (eis88.home.lan) [127.0.0.1] P=esmtp S=2527
id=2016030111300...@relay01.alfahosting-server.de
2016-03-01 12:40:07 1aaiet-0003eK-Ow => schmied <schmied@lan>
R=localuser T=local_delivery
2016-03-01 12:40:07 1aaiet-0003eK-Ow Completed
2016-03-01 12:40:08 1aaieu-0003eK-1z <= andreas...@t-online.de
H=localhost (eis88.home.lan) [127.0.0.1] P=esmtp S=2527
id=2016030111311...@relay01.alfahosting-server.de
2016-03-01 12:40:08 1aaieu-0003eK-1z => schmied <schmied@lan>
R=localuser T=local_delivery
2016-03-01 12:40:08 1aaieu-0003eK-1z Completed
2016-03-01 12:40:08 1aaieu-0003eK-B4 <= andreas...@montforterhof.de
H=localhost (eis88.home.lan) [127.0.0.1] P=esmtp S=2550
id=2016030111321...@relay01.alfahosting-server.de
2016-03-01 12:40:08 1aaieu-0003eK-B4 => schmied <schmied@lan>
R=localuser T=local_delivery
2016-03-01 12:40:08 1aaieu-0003eK-B4 Completed

Gruss
Andreas

Juergen Edner

unread,

Mar 1, 2016, 8:15:28 AM3/1/16

to

Hallo Andreas,

> Fritzbox:
> die domain '.fritz.box' bekomme ich nicht geändert, bzw habe keinen
> gefunden, dem das gelungen ist. War aber schon immer so.

es ist nicht möglich die Domain der Fritzbox zu ändern, sodass nur die
Möglichkeit besteht die generelle Domain in Deinem Netzwerk anzupassen.

> Erst ging gar nichts mehr, weder mit noch ohne Verschlüsselung.
> Dann habe ich folgendes geändert:
>
> SMTP_SMARTHOST_1_HOST = 109.237.140.26
>
> Hier habe ich die IP Adresse eingesetzt

Generell muss der Zugriff auf den Smarthost mittels DNS-Namen
funktionieren. Falls dies nicht klappt hast Du vermutlich die
DNS-Konfiguration des eisfair-Servers nicht korrekt durchgeführt.
Die Verwendung einer IP Adresse ist sub-optimal, da dadurch erst
recht die Zertifikatsprüfung der Gegenstelle fehlschlagen muss.

> Dann habe ich wieder
> SMTP_SMARTHOST_1_FORCE_TLS ='yes'
> gesetzt.
>
> Mail ging nicht raus.

Dies ist doch bereits bekannt. Stelle bitte sicher, dass Du vom
eisfair-Server den Smarthost Deines Providers über den DNS-Namen und
nicht die IP-Adresse anpingen kannst. Dann solltest Du den Parameter
SMTP_SERVER_TRANSPORT='default' stellen, da Du nach meinem Verständnis
lokal keine Zertifikate verwendest, um so etwas Komplexität aus der
Sache zu nehmen. Anschließend AKTIVIERE DEN DEBUG-MODUS und schaue was
beim Versand von Nachrichten genau fehlschlägt.

> Was mir dabei auffiel:
> wenn ich mails in der queue liegen hatte und ich
> 'force queue run' machte und sofort wieder 'press ENTER' erschien,
> dann gingen die mails nicht raus,
> wenn aber nach 'force queue run' aber ein kleiner Moment verging bis
> 'press ENTER' erschien, dann waren immer alle raus gegangen.

Generell wird ein Fallback auf eine unsichere Verbindung durchgeführt,
wenn es Probleme bei einem sicheren Verbindungsaufbau gibt, aber dass
hatte ich wohl schon einmal angemerkt.

> 2016-03-01 11:38:30 1aags0-0004Mg-P7 [109.237.140.26] SSL verify error:
> certificate name mismatch: "/OU=Domain Control Validated/OU=Hosted by
> Alfahosting GmbH/OU=PositiveSSL Wildcard/CN=*.alfahosting-server.de"
> 2016-03-01 11:38:31 1aags0-0004Mg-P7 => beste...@montforterhof.de

Verständlich, Begründung siehe oben.

> 2016-03-01 11:40:23 1aahj5-0000Bw-82 H=109.237.140.26 [109.237.140.26]
> TLS error on connection (SSL_CTX_use_certificate_chain_file
> file=/usr/local/ssl/certs/exim.pem): error:02001002:system
> library:fopen:No such file or directory

Du verwendest lokal keine Verschlüsselung, deshalb den Parameter wie
oben beschrieben setzen.

Juergen Edner

unread,

Mar 1, 2016, 8:17:32 AM3/1/16

to

Hallo Andreas,

> 2016-03-01 12:39:32 1aaieJ-0003dI-Sp [109.237.140.26] SSL verify
> error:
> certificate name mismatch: "/OU=Domain Control Validated/OU=Hosted by
> Alfahosting GmbH/OU=PositiveSSL Wildcard/CN=*.alfahosting-server.de"
> 2016-03-01 12:39:33 1aaieJ-0003dI-Sp => andreas...@t-online.de
>
> name mismatch?
> Ich habe ein vollständiges alfahosting-server.de certificate

wie hast Du den Smarthost-Eintrag konfiguriert, mit der IP-Adresse!
Noch Fragen?

Andreas Schmied

unread,

Mar 1, 2016, 11:38:01 AM3/1/16

to

Hallo Jüregen,

>> Fritzbox:
>> die domain '.fritz.box' bekomme ich nicht geändert, bzw habe keinen
>> gefunden, dem das gelungen ist. War aber schon immer so.
>
> es ist nicht möglich die Domain der Fritzbox zu ändern, sodass nur die
> Möglichkeit besteht die generelle Domain in Deinem Netzwerk anzupassen.
>

Das war schon vorher so und lief damit. Ich denke nicht, dass dies eine
Grund sein könnte. Insofern wäre diese Thema für mich beendet.

>> Erst ging gar nichts mehr, weder mit noch ohne Verschlüsselung.
>> Dann habe ich folgendes geändert:
>>
>> SMTP_SMARTHOST_1_HOST = 109.237.140.26
>>
>> Hier habe ich die IP Adresse eingesetzt
>
> Generell muss der Zugriff auf den Smarthost mittels DNS-Namen
> funktionieren. Falls dies nicht klappt hast Du vermutlich die
> DNS-Konfiguration des eisfair-Servers nicht korrekt durchgeführt.
> Die Verwendung einer IP Adresse ist sub-optimal, da dadurch erst
> recht die Zertifikatsprüfung der Gegenstelle fehlschlagen muss.
>

Habe den DNS Namen eingesetzt und funktionert, ohne TLS

>> Dann habe ich wieder
>> SMTP_SMARTHOST_1_FORCE_TLS ='yes'
>> gesetzt.
>>
>> Mail ging nicht raus.
>
> Dies ist doch bereits bekannt. Stelle bitte sicher, dass Du vom
> eisfair-Server den Smarthost Deines Providers über den DNS-Namen und
> nicht die IP-Adresse anpingen kannst. Dann solltest Du den Parameter
> SMTP_SERVER_TRANSPORT='default' stellen,

der steht auf default

da Du nach meinem Verständnis
> lokal keine Zertifikate verwendest, um so etwas Komplexität aus der
> Sache zu nehmen. Anschließend AKTIVIERE DEN DEBUG-MODUS und schaue was
> beim Versand von Nachrichten genau fehlschlägt.
>

Ich hoffe ich habe das richtig verstanden, dass im Debug-Modus ins
Mainlog geschrieben wird....

Hier ist der Auszug vom mainlog mit
SMTP_SMARTHOST_1_FORCE_TLS ='yes'

2016-03-01 17:34:45 [19765] Start queue run: pid=19765
2016-03-01 17:34:45 [19765] End queue run: pid=19765
2016-03-01 17:35:45 [19763] SMTP connection from [192.168.1.101]:54916
I=[192.168.1.88]:25 (TCP/IP connection count = 1)
2016-03-01 17:35:45 [19768] 1aanGz-00058q-Hn <=
andreas...@montforterhof.de H=macbook-wlan.fritz.box
(macbook.fritz.box) [192.168.1.101]:54916 I=[192.168.1.88]:25 P=esmtp
S=677 M8S=0 id=56D5C32A...@montforterhof.de T="test mac tls" from
<andreas...@montforterhof.de> for andreas...@t-online.de
2016-03-01 17:35:45 [19768] SMTP connection from macbook-wlan.fritz.box
(macbook.fritz.box) [192.168.1.101]:54916 I=[192.168.1.88]:25 closed by QUIT
2016-03-01 17:35:45 [19769] cwd=/var/spool/exim 4 args:
/usr/local/exim/bin/exim -d=0xfbbd5cfd -Mc 1aanGz-00058q-Hn
2016-03-01 17:35:45 [19772] 1aanGz-00058q-Hn
H=alfa3056.alfahosting-server.de [109.237.140.26] TLS error on

connection (SSL_CTX_use_certificate_chain_file
file=/usr/local/ssl/certs/exim.pem): error:02001002:system
library:fopen:No such file or directory

2016-03-01 17:35:45 [19769] 1aanGz-00058q-Hn ==
andreas...@t-online.de R=smart_route T=remote_smtp defer (-37)
H=alfa3056.alfahosting-server.de [109.237.140.26]: failure while setting
up TLS session
2016-03-01 17:36:43 [19792] cwd=/tmp 2 args: /usr/local/exim/bin/exim -bp
2016-03-01 17:36:43 [19839] cwd=/tmp 3 args: /usr/local/exim/bin/exim
-bp 1aanGz-00058q-Hn
2016-03-01 17:37:12 [21027] cwd=/tmp 1 args: /usr/bin/newaliases
2016-03-01 17:37:26 [21204] cwd=/tmp 5 args: /usr/local/exim/bin/exim -d
-bd -q30m -om
2016-03-01 17:37:26 [21204] exim 4.86 daemon started: pid=21204, -q30m,

listening for SMTP on port 25 (IPv4) port 587 (IPv4)

2016-03-01 17:37:26 [21206] cwd=/var/spool/exim 2 args:
/usr/local/exim/bin/exim -q
2016-03-01 17:37:26 [21206] Start queue run: pid=21206
2016-03-01 17:37:26 [21208] 1aanGz-00058q-Hn ==
andreas...@t-online.de R=smart_route T=remote_smtp defer (-53):

retry time not reached for any host

2016-03-01 17:37:26 [21206] End queue run: pid=21206

--
Gruß
Andreas

Andreas Schmied

unread,

Mar 1, 2016, 11:45:48 AM3/1/16

to

Hallo Jürgen

>
> Generell muss der Zugriff auf den Smarthost mittels DNS-Namen
> funktionieren. Falls dies nicht klappt hast Du vermutlich die
> DNS-Konfiguration des eisfair-Servers nicht korrekt durchgeführt.
> Die Verwendung einer IP Adresse ist sub-optimal, da dadurch erst
> recht die Zertifikatsprüfung der Gegenstelle fehlschlagen muss.

Habe den DNS Namen wieder eingesetzt, Mail ohne TLS geht raus

>
>> Dann habe ich wieder
>> SMTP_SMARTHOST_1_FORCE_TLS ='yes'
>> gesetzt.
>>
>> Mail ging nicht raus.
>
> Dies ist doch bereits bekannt. Stelle bitte sicher, dass Du vom
> eisfair-Server den Smarthost Deines Providers über den DNS-Namen und
> nicht die IP-Adresse anpingen kannst. Dann solltest Du den Parameter
> SMTP_SERVER_TRANSPORT='default'

steht auf default

stellen, da Du nach meinem Verständnis
> lokal keine Zertifikate verwendest, um so etwas Komplexität aus der
> Sache zu nehmen. Anschließend AKTIVIERE DEN DEBUG-MODUS und schaue was
> beim Versand von Nachrichten genau fehlschlägt.

Ich hoffe, ich habe das mit dem Debug-Modus richtig verstanden und es
wird in das Mainlog geschrieben:
Hier der Auszug:

2016-03-01 17:34:45 [19765] Start queue run: pid=19765
2016-03-01 17:34:45 [19765] End queue run: pid=19765
2016-03-01 17:35:45 [19763] SMTP connection from [192.168.1.101]:54916
I=[192.168.1.88]:25 (TCP/IP connection count = 1)

2016-03-01 17:35:45 [19768] 1aanGz-00058q-Hn <=
andreas...@montforterhof.de H=macbook-wlan.fritz.box

(macbook.fritz.box) [192.168.1.101]:54916 I=[192.168.1.88]:25 P=esmtp
S=677 M8S=0 id=56D5C32A...@montforterhof.de T="test mac tls" from
<andreas...@montforterhof.de> for andreas...@t-online.de
2016-03-01 17:35:45 [19768] SMTP connection from macbook-wlan.fritz.box
(macbook.fritz.box) [192.168.1.101]:54916 I=[192.168.1.88]:25 closed by QUIT
2016-03-01 17:35:45 [19769] cwd=/var/spool/exim 4 args:
/usr/local/exim/bin/exim -d=0xfbbd5cfd -Mc 1aanGz-00058q-Hn
2016-03-01 17:35:45 [19772] 1aanGz-00058q-Hn

H=alfa3056.alfahosting-server.de [109.237.140.26] TLS error on

connection (SSL_CTX_use_certificate_chain_file
file=/usr/local/ssl/certs/exim.pem): error:02001002:system
library:fopen:No such file or directory

2016-03-01 17:35:45 [19769] 1aanGz-00058q-Hn ==

andreas...@t-online.de R=smart_route T=remote_smtp defer (-37)
H=alfa3056.alfahosting-server.de [109.237.140.26]: failure while setting
up TLS session

2016-03-01 17:36:43 [19792] cwd=/tmp 2 args: /usr/local/exim/bin/exim -bp
2016-03-01 17:36:43 [19839] cwd=/tmp 3 args: /usr/local/exim/bin/exim
-bp 1aanGz-00058q-Hn
2016-03-01 17:37:12 [21027] cwd=/tmp 1 args: /usr/bin/newaliases
2016-03-01 17:37:26 [21204] cwd=/tmp 5 args: /usr/local/exim/bin/exim -d
-bd -q30m -om

2016-03-01 17:37:26 [21204] exim 4.86 daemon started: pid=21204, -q30m,

listening for SMTP on port 25 (IPv4) port 587 (IPv4)

2016-03-01 17:37:26 [21206] cwd=/var/spool/exim 2 args:
/usr/local/exim/bin/exim -q
2016-03-01 17:37:26 [21206] Start queue run: pid=21206
2016-03-01 17:37:26 [21208] 1aanGz-00058q-Hn ==

andreas...@t-online.de R=smart_route T=remote_smtp defer (-53):

retry time not reached for any host

Marcus Roeckrath

unread,

Mar 1, 2016, 12:40:08 PM3/1/16

to

Hallo Andreas,

Andreas Schmied wrote:

Diese Zeilen habe ich von einem anderen Zeitpunkt auch schon hier gepostet.

> 2016-03-01 17:35:45 [19772] 1aanGz-00058q-Hn
> H=alfa3056.alfahosting-server.de [109.237.140.26] TLS error on
> connection (SSL_CTX_use_certificate_chain_file
> file=/usr/local/ssl/certs/exim.pem): error:02001002:system
> library:fopen:No such file or directory

Mir leuchtet nicht ein, dass exim hier ausgehend zum Privider Deine
(allerdings auch nicht vorhandenes exim.pem) benutzen will, dem kann der
Provider sowieso nicht trauen.

> 2016-03-01 17:35:45 [19769] 1aanGz-00058q-Hn ==
> andreas...@t-online.de R=smart_route T=remote_smtp defer (-37)
> H=alfa3056.alfahosting-server.de [109.237.140.26]: failure while setting
> up TLS session

--
Gruss Marcus

Marcus Roeckrath

unread,

Mar 1, 2016, 12:40:11 PM3/1/16

to

Hallo Jürgen,

Marcus Roeckrath wrote:

> Juergen Edner schrieb am Di, 01 März 2016 10:48
>> > 2016-02-29 19:20:18 1aaPBb-000678-Bc
>> > H=alfa3056.alfahosting-server.de
>> > [109.237.140.26] TLS error on co02001002:system
>> > library:fopen:No such file
>> > or directory
>> > 2016-02-29 19:20:18 1aaPBb-000678-Bc ==
>> > beste...@montforterhof.de
>> > R=smart_route T=remote_smtp defer (-37)
>> > H=alfa3056.alfahosting-server.de
>> > [109.237.140.26]: failure while setting up TLS session
>>
>> ich kann hier noch keinen Bezug auf ein lokales exim-Zertifikat
>> sehen,
>> da ein debug-Trace bis dato nicht zur Verfügung gestellt wurde.
>
> Kannst Du so auch nicht; wie ich jetzt sehe, ist der entscheidende Teil
> beim Copy 'n Paste verloren gegangen.

Hier die korrekte Meldung:

2016-02-29 19:20:18 1aaPBb-000678-Bc H=alfa3056.alfahosting-server.de

[109.237.140.26] TLS error on connection
(SSL_CTX_use_certificate_chain_file file=/usr/local/ssl/certs/exim.pem):

error:02001002:system library:fopen:No such file or directory

2016-02-29 19:20:18 1aaPBb-000678-Bc == beste...@montforterhof.de
R=smart_route T=remote_smtp defer (-37) H=alfa3056.alfahosting-server.de
[109.237.140.26]: failure while setting up TLS session

--
Gruss Marcus

Juergen Edner

unread,

Mar 1, 2016, 2:05:42 PM3/1/16

to

Hallo Andreas,

> Das war schon vorher so und lief damit. Ich denke nicht, dass dies
> eine Grund sein könnte. Insofern wäre diese Thema für mich beendet.

ok.

> Habe den DNS Namen eingesetzt und funktionert, ohne TLS

ok.

> Ich hoffe ich habe das richtig verstanden, dass im Debug-Modus ins
> Mainlog geschrieben wird....

Dies ist leider nicht korrekt. Debug-Meldungen werden nur am Bildschirm
angezeigt und dort muss man sich die Stelle ansehen an der versucht wird
eine Verbindung zum Smarthost aufzubauen.

Marcus Roeckrath

unread,

Mar 1, 2016, 2:40:18 PM3/1/16

to

Hallo Andreas,

Marcus Roeckrath wrote:

> Diese Zeilen habe ich von einem anderen Zeitpunkt auch schon hier
> gepostet.
>
>> 2016-03-01 17:35:45 [19772] 1aanGz-00058q-Hn
>> H=alfa3056.alfahosting-server.de [109.237.140.26] TLS error on
>> connection (SSL_CTX_use_certificate_chain_file
>> file=/usr/local/ssl/certs/exim.pem): error:02001002:system
>> library:fopen:No such file or directory

Was sagt

ls -la /usr/local/ssl/certs/exim.pem

--
Gruss Marcus

Juergen Edner

unread,

Mar 1, 2016, 2:52:05 PM3/1/16

to

Hallo Marcus,

> 2016-02-29 19:20:18 1aaPBb-000678-Bc H=alfa3056.alfahosting-server.de
> [109.237.140.26] TLS error on connection
> (SSL_CTX_use_certificate_chain_file file=/usr/local/ssl/certs/exim.pem):
> error:02001002:system library:fopen:No such file or directory
>
> 2016-02-29 19:20:18 1aaPBb-000678-Bc == beste...@montforterhof.de
> R=smart_route T=remote_smtp defer (-37) H=alfa3056.alfahosting-server.de
> [109.237.140.26]: failure while setting up TLS session

ok, verstehe. Ich denke schuld an diesem Verhalten sind die beiden
Einträge tls_certificate und tls_privatekey beim SMTP-Transport.
Diese Einträge werden eigentlich nur dann dort benötigt, wenn die
Gegenseite, d.h. in diesem Fall der empfangende Smarthost, die
Identität des Absender prüfen will.
Für den Anfang könnte man testweise die folgenden beiden Zeilen
im Block "remote_smtp:" der Datei /var/spool/exim/configure
auskommentieren und schauen, ob dann die Fehlermeldung verschwindet.

remote_smtp:
...
tls_certificate = /usr/local/ssl/certs/exim.pem
tls_privatekey = /usr/local/ssl/certs/exim.pem
...

Andreas Schmied

unread,

Mar 1, 2016, 3:48:21 PM3/1/16

to

Am 01.03.16 um 20:52 schrieb Juergen Edner:

Habe ich so gemacht,dann:
Stop mail services │
Start mail services

..schon war die Mail mit TLS raus.

Aber..dann habe ich doch noch einmal getestet und die Mail ging wieder
nicht raus.
In /var/spool/exim/configure reingeschaut waren die beiden Zeilen

tls_certificate = /usr/local/ssl/certs/exim.pem
tls_privatekey = /usr/local/ssl/certs/exim.pem

wieder 'un'auskommentiert.

Das log dazu:

2016-03-01 21:09:13 [21363] cwd=/tmp 2 args: /usr/local/exim/bin/exim -bp
2016-03-01 21:09:13 [21410] cwd=/tmp 3 args: /usr/local/exim/bin/exim
-bp 1aanGz-00058q-Hn
2016-03-01 21:09:44 [21582] cwd=/tmp 5 args: /usr/local/exim/bin/exim -d
-bd -q30m -om
2016-03-01 21:09:44 [21582] exim 4.86 daemon started: pid=21582, -q30m,

listening for SMTP on port 25 (IPv4) port 587 (IPv4)

2016-03-01 21:09:44 [21584] cwd=/var/spool/exim 2 args:
/usr/local/exim/bin/exim -q
2016-03-01 21:09:44 [21584] Start queue run: pid=21584
2016-03-01 21:09:45 [21587] 1aanGz-00058q-Hn [109.237.140.26] SSL verify
error: depth=0 error=unable to get certificate CRL cert=/OU=Domain

Control Validated/OU=Hosted by Alfahosting GmbH/OU=PositiveSSL
Wildcard/CN=*.alfahosting-server.de

2016-03-01 21:09:45 [21587] 1aanGz-00058q-Hn [109.237.140.26] SSL verify
error: depth=1 error=unable to get certificate CRL cert=/C=GB/ST=Greater
Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation
Secure Server CA
2016-03-01 21:09:45 [21587] 1aanGz-00058q-Hn [109.237.140.26] SSL verify
error: depth=2 error=unable to get certificate CRL cert=/C=GB/ST=Greater
Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification
Authority
2016-03-01 21:09:45 [21587] 1aanGz-00058q-Hn [109.237.140.26] SSL verify
error: depth=3 error=unable to get certificate CRL cert=/C=SE/O=AddTrust
AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
2016-03-01 21:09:46 [21586] 1aanGz-00058q-Hn =>
andreas...@t-online.de I=[192.168.1.88]
F=<andreas...@montforterhof.de>
P=<andreas...@montforterhof.de> R=smart_route T=remote_smtp S=652
H=alfa3056.alfahosting-server.de [109.237.140.26]:25
X=TLSv1:DHE-RSA-AES256-SHA:256 CV=no DN="/OU=Domain Control

Validated/OU=Hosted by Alfahosting GmbH/OU=PositiveSSL
Wildcard/CN=*.alfahosting-server.de" A=login C="250 2.0.0 Ok: queued as

141062A38100" QT=3h34m1s DT=2s
2016-03-01 21:09:46 [21586] 1aanGz-00058q-Hn Completed QT=3h34m1s
2016-03-01 21:09:46 [21584] End queue run: pid=21584
2016-03-01 21:10:22 [21609] cwd=/tmp 2 args: /usr/local/exim/bin/exim -bp
2016-03-01 21:11:37 exim 4.86 daemon started: pid=22887, -q30m,

listening for SMTP on port 25 (IPv4) port 587 (IPv4)

2016-03-01 21:11:37 Start queue run: pid=22889
2016-03-01 21:11:37 End queue run: pid=22889
2016-03-01 21:11:42 1aaqdx-0005xo-45 DKIM: d=vcockpit.de
s=mail.protection c=relaxed/simple a=rsa-sha256 t=1456857617
[verification succeeded]
2016-03-01 21:11:42 1aaqdx-0005xo-45 <= off...@vcockpit.de H=localhost
(eis88.home.lan) [127.0.0.1] P=esmtp S=234318
id=3fd750d430e8777b...@swift.generated
2016-03-01 21:11:42 1aaqdx-0005xo-45 => schmied <schmied@lan>
R=localuser T=local_delivery
2016-03-01 21:11:42 1aaqdx-0005xo-45 Completed
2016-03-01 21:11:42 1aaqdy-0005xo-Dz <= andreas...@montforterhof.de
H=localhost (eis88.home.lan) [127.0.0.1] P=esmtp S=2579
id=2016030120022...@relay01.alfahosting-server.de
2016-03-01 21:11:42 1aaqdy-0005xo-Dz => schmied <schmied@lan>
R=localuser T=local_delivery
2016-03-01 21:11:42 1aaqdy-0005xo-Dz Completed
2016-03-01 21:16:07 1aaqiF-0005yo-0m <= andreas...@montforterhof.de
H=macbook-wlan.fritz.box [192.168.1.101] P=esmtp S=647
id=56D5F6CF...@montforterhof.de
2016-03-01 21:16:07 1aaqiF-0005yo-0m H=alfa3056.alfahosting-server.de

[109.237.140.26] TLS error on connection
(SSL_CTX_use_certificate_chain_file file=/usr/local/ssl/certs/exim.pem):
error:02001002:system library:fopen:No such file or directory

2016-03-01 21:16:07 1aaqiF-0005yo-0m H=alfa3056.alfahosting-server.de

[109.237.140.26] TLS error on connection
(SSL_CTX_use_certificate_chain_file file=/usr/local/ssl/certs/exim.pem):
error:02001002:system library:fopen:No such file or directory

2016-03-01 21:16:07 1aaqiF-0005yo-0m == andreas...@t-online.de

R=smart_route T=remote_smtp defer (-37) H=alfa3056.alfahosting-server.de
[109.237.140.26]: failure while setting up TLS session

2016-03-01 21:16:07 1aaqiF-0005yo-0m == beste...@montforterhof.de

R=smart_route T=remote_smtp defer (-37) H=alfa3056.alfahosting-server.de
[109.237.140.26]: failure while setting up TLS session

2016-03-01 21:21:05 Start queue run: pid=23284
2016-03-01 21:21:05 1aaqiF-0005yo-0m == beste...@montforterhof.de