Keine neuen Email im Posteingang, Ausgehende werden versandt - jedoch nich gespeichert

Hey All,

seit einigen Tagen kommen im Mailclient keine neuen Emails an.
Ausgehende Nachrichten kommen beim Empfänger an können auf meinem Server vom Mailclienten nicht gespeichert werden.

tailf /var/log/mail.log sagt:
Code:
TLS handshaking: SSL_accept() failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate: SSL alert number 42,

Ich habe schon versucht den Hacken bei Domains -> Let's Encrypt SSL: zu entfernen zu speichern und dann wieder zu aktivieren.
Auf den Webseiten schein Let's Encrypt zu funktionieren.

Was kann ich noch tun?

Viele Grüße
Ronny
 

Till

Administrator
Hmm, SSLv3? Kann Dein Mailclient vielleicht keine aktuellen SSL Modi? Hast Du irgend etwas geändert an der config oder Updates eingespielt, bevor das problem auftrat?
 
Nein, ich habe nichts geändert.
Als Mailclient benutze ich Thunderbird.
Mails vom zweiten ISP-Config-Server mit Ubuntu 20.04 kommen an und gehen problemlos raus.
Auf dem Problem-Server läuft Ubuntu 18.04
 
Ja hatte schon ein reboot durchgeführt und eben noch einmal ein
Code:
service postfix restart && service dovecut restart
eingegeben

Thunderbird sagt beim senden:
"Die Nachricht wurde gesendet, aber es wurde keine Kopie im Gesendet-Ordner (Gesendet) gespeichert, da es zu Problemen bei dem Zugriff auf Netzwerk oder Dateien kam.
Sie können es erneut versuchen oder die Nachricht lokal unter Lokale Ordner/Gesendet-info@meinedomain.de speichern."
 
Zuletzt bearbeitet:

Till

Administrator
Dann besteht das Problem vermutlich mit dovecot. Du müsstest mal schauen, welches SSL cert Dovecot nutzt und ob es aktuell ist. Die Konfigurationsdatei ist /etc/dovecot/dovecot.conf
 
ssl_cert = </etc/postfix/smtpd.cert

Beim defekten Server stehen in dieser Datei zwei Zertifikate drin
Code:
-----BEGIN CERTIFICATE-----
bla, bla
NO5auuzkyerZ32aEo3MlEik4rjOklTk=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
bla, bla
UdHkhVNcsAKX1H7GNNLOEADksd86wuoXvg==
-----END CERTIFICATE-----

Beim funktionierenden steht nur eins drin
Code:
-----BEGIN CERTIFICATE-----
MIIGHzCCBA
bla, bla
-----END CERTIFICATE-----

Was soll ich machen? Soll ich das erste oder das zweite löschen?
Wie kann das passieren?

In der dovecot.con des funktionierenden Servers steht weiterhin noch:
Code:
ssl_dh = </etc/dovecot/dh.pem
drin.
Ist das wichtig?
 

Till

Administrator
Es ist nicht grundsätzlich falsch wenn da 2 certs drin stehen, das 2. Cert kann auch einfach nur ein chain cert sein, das heißt es ist nicht so dass Du da nur eines löschen brauchst. Schau mal worauf /etc/postfix/smtpd.cert verweist wenn es ein symlink ist:

ls -la /etc/postfix/smtpd.cert

Denn es kommt darauf an, wie Du das Zertifikat erstellt hast um zu wissen wie Du es jetzt erneuern musst, und um zus ehen warum das erneuern nicht funktioniert hat, falls Du einen Mechanismus zum austomatischen erneuern eingerichtet hast.


In der dovecot.con des funktionierenden Servers steht weiterhin noch:
Code:
ssl_dh = </etc/dovecot/dh.pem
drin.
Ist das wichtig?

Für den Server wo es drin steht, ist es wichtig. für den anderen eher nicht. Hängt von der Dovecot version ab.
 
Code:
 /etc/postfix/smtpd.cert -> /usr/local/ispconfig/interface/ssl/ispserver.crt

Ich hatte mal versucht das ISPConfig-Contolpanal mit SSL auszustatten.
Ich benutzte diese Anleitung.
Danach konnte ich keine Mails mehr senden und ich habe die .bak-Dateien schnell wieder zurück benannt.
Danach hatte der Email-Server erstmal wieder funktioniert.

Was mache ich nun?
 

Till

Administrator
Dann mach mal ein:

ls -la /usr/local/ispconfig/interface/ssl/ispserver.crt

wenn es eine Datei ist, dann müsstest Du manuell ein neues cert erstellen oder auf LE umstellen. Ist es ein symlink auf ein LE cert, dann müssen wir schauen warum das cert nicht erneuert werden konnte.
 

Till

Administrator
Welche Vorteile bringt LE gegenüber dem ISP-Cert?

Ein zertifikat von let#s encrypt wird offiziell vom Browser erkannt und es ist kostenlos. Alternativen sind ja dass Du ein selbst signiertes zertifikat erstellst, das bringt dann einen fehler im Browser, oder ein zertifikat kaufst, das kostet Dich dann Geld.


ISPConfig Update durchführen und beim Update auswählen, dass Du ein neues cert erstellen möchtest. Standardmäßig versucht ISPConfig dann ein LE Cert zu erstellen, schlägt das fehl, wird ein neues selbstsigniertes zertifikat erstellt.
 
Hey super,
Code:
ispconfig_update.sh --force
hat geholfen. Das Cert wurde erneuert und selbst Controlpanel funktioniert ohne zusätzlich eine Ausnahmen zu bestätigen.

Viele, vielen Dank
 

Werbung

Top