postfix TLS verify error num=19

[organix]

Hallo,

ich habe hier ein Debian-4 mit Postfix und Confixx-3.1Pro, nichts besonderes also und eigentlich läuft auch alles ganz gut.
Nur eine Sache ist mir jetzt aufgefallen und ich bin darauf auch angesprochen worden.

Ganz wenige Versender (immer die gleichen), können keine Mails an meinen Server zustellen. Da läuft irgendwas mit TLS schief.
Ich muss zugeben, ich kenne mich mit TLS jetzt nicht so besonders aus. Das ganze ist auf meinem System vom Server-Anbieter im Image so eingerichtet.

Hier mal ein Auszug aus einem Logfile:

Apr 14 07:44:10 pirip postfix/smtp[14013]: setting up TLS connection to basf-it-services.com.s200a1.psmtp.com
Apr 14 07:44:10 pirip postfix/smtp[14013]: verify error:num=19:self signed certificate in certificate chain
Apr 14 07:44:10 pirip postfix/smtp[14013]: Peer verification: CommonName in certificate does not match: *.psmtp.com != basf-it-services.com.s200a1.psmtp.com
Apr 14 07:44:10 pirip postfix/smtp[14013]: Peer certificate could not be verified

oder auch:

Apr 16 07:04:31 pirip postfix/smtp[7883]: verify error:num=19:self signed certificate in certificate chain
Apr 16 07:04:31 pirip postfix/smtp[7883]: Peer verification: CommonName in certificate does not match: *.psmtp.com != carnegie.org.mail5.psmtp.com
Apr 16 07:04:31 pirip postfix/smtp[7883]: Peer certificate could not be verified

Jetzt bin ich etwas verunsichert darüber, ob es nun an meinem Server liegt oder am Versender. Ansonsten funktioniert die Mailfunktionalität und am Server gehen täglich mehrere hundert EMails ohne Probleme ein, nur bei ein paar ganz wenigen kommen diese Meldungen.

Es gibt aber auch erfolgreiche TLS Meldungen im Logfile, wie zum Beispiel:

Apr 16 08:31:57 pirip postfix/smtpd[11116]: setting up TLS connection from mailer201.agnitas.de[87.119.210.162]
Apr 16 08:31:58 pirip postfix/smtpd[11116]: TLS connection established from mailer201.agnitas.de[87.119.210.162]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Apr 16 08:31:58 pirip postfix/smtpd[11116]: 40547816CDE: client=mailer201.agnitas.de[87.119.210.162]

Wie kann ich diese Fehlermeldung nun interpretieren und wenn es an meinem System liegt, wie gehe ich es an das Problem zu lösen?

Danke für jegliche Hilfe schon im vorraus.

Gruss
Markus

 

[Roger Wilco]

Der in dem SSL-Zertifikat eingetragene CommonName (CN) *.psmtp.com stimmt nicht mit dem Hostname überein, über den der MTA angesprochen wird. Wenn unbedingt ein Wildcard-CN verwendet werden soll, müsste dieser auf *.*.psmtp.com lauten.

Den Hostnamen nach zu urteilen spinnt da aber ein (dein?) DNS-Resolver und hängt die gewünschten Hostnamen (etwa carnegie.org) an deinen Hostnamen/Domainnamen (mail5.psmtp.com) an.

$ openssl s_client -starttls smtp -host carnegie.org.mail5.psmtp.com -port 25
CONNECTED(00000003)
depth=2 /C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/C=US/ST=California/L=Redwood City/O=Postini, Inc./OU=PSMTP/OU=Terms of use at www.verisign.com/rpa (c)05/CN=*.psmtp.com
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)05/CN=VeriSign Class 3 Secure Server CA
 1 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)05/CN=VeriSign Class 3 Secure Server CA
   i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
 2 s:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
   i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=US/ST=California/L=Redwood City/O=Postini, Inc./OU=PSMTP/OU=Terms of use at www.verisign.com/rpa (c)05/CN=*.psmtp.com
issuer=/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)05/CN=VeriSign Class 3 Secure Server CA
---
No client certificate CA names sent
---
SSL handshake has read 3485 bytes and written 375 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID:
    Session-ID-ctx:
    Master-Key: A864AB1DAD91080470B52B8D6715DCA28C5E4702916819296747B1D1A28EC4E01609954EDFECDFC3A0FE5A113E819FF3
    Key-Arg   : None
    Start Time: 1208444596
    Timeout   : 300 (sec)
    Verify return code: 19 (self signed certificate in certificate chain)
---
250 HELP
QUIT
DONE

 

[Cenic]

Ich glaube fast, daß es da keinen Bedarf für eine Änderung gibt. Die Logs sind alle vom System pirip, zeigen aber zweimal die Ausgaben von smtp und einmal von smtpd. Der anscheinend erfolgreiche Versuch zeigt damit also eine ankommende Mail, während die vermeindlichen Fehlermeldungen vom Absenden einer Mail stammen.

Solange Postfix nicht auf ein Clientzertifikat besteht, ist die Meldung über die fehlende Verifizierung des Zertifikates IMHO nur ein Hinweis und kein Fehler, d.h. die Mail wird trotzdem verschickt.

Wenn Mails auf dem Server nicht ankommen, dann sind das vermutlich andere Probleme.

 

[organix]

Der in dem SSL-Zertifikat eingetragene CommonName (CN) *.psmtp.com stimmt nicht mit dem Hostname überein, über den der MTA angesprochen wird. Wenn unbedingt ein Wildcard-CN verwendet werden soll, müsste dieser auf *.*.psmtp.com lauten.

Den Hostnamen nach zu urteilen spinnt da aber ein (dein?) DNS-Resolver und hängt die gewünschten Hostnamen (etwa carnegie.org) an deinen Hostnamen/Domainnamen (mail5.psmtp.com) an.

Danke erstmal, dass Du Dir das angeschaut hast.
Weder mein Hostname noch mein Domainname hat übrigens was mit psmtp.com oder carnegie.org zu tun.
Das mit dem Wildcard im Common-Name habe ich auch gesehen, aber ich dachte, da das Zertifikat schliesslich von BASF ist und die es sich angeblich von Verisign haben ausstellen lassen, müsste das eigentlich schon richtig sein.
Allerdings lese ich bei Dir da jetzt was von Self-Signed Zertifikat, dann wird es vermutlich doch nicht von einem Aussteller wie Verisign sein?

Ich habe mal von einem anderen System versucht da eine EMail hinzuschicken und da kommt es bei der TLS Verifizierung zum gleichen Fehler. Somit schliesse ich schon immer mehr ein Fehler in meinem System aus.

@Cenic
Oh Danke, für den Hinweis auf smtp und smtpd. Das ist mir im Buchstabendschungel gar nicht aufgefallen.
Soweit ich jetzt auch gesehen habe, kommt die Fehlermeldung immer bei diversen ausgehenden Mails, werden dann aber trotzdem verschickt.

Bei der ganzen Sache geht es um die EMail Adresse servicedesk.e-business (at) basf-it-services.com. Die schicken angeblich EMails zu einem der Benutzer auf meinem Server und die Mails würden nicht ankommen, sondern abgelehnt werden.
Auf Anfrage bei basf-it-services.com uns doch mal einen Fehlerbericht zu schicken, hat man mir ein Verifikations-Protokoll derer Verisign-Zertifikate geschickt.
Dies hat mich dann dazu veranlasst meine Logfiles mal genauer anzuschauen.
Auf meinen beiden Servern wo ich verwalte, kommt der Zertifikats verify error wegen falschem CN-Name wenn ich eine EMail an oben genannte EMail Adresse schreibe.

Aufgrund eurer Antworten, da danke ich sehr dafür, fühle ich mich nun auch bestärkt darin, dass hier eher Fehler bei basf-it-services bzw. derer Mailhoster zu suchen ist als auf meinem System.

Gruss
Markus