CA certificate verification failed for *: num=7:certificate signature failure
Hallo,
ich schicke Mails an einen externen Exchange-Server. Die TLS-Verbindung wird teilweise "Trusted" aufgebaut, teilweise mit "A certificate verification failed for exchange[10.17.101.63]:25: num=7:certificate signature failure" aufgebaut. Wie kann das sein? Die CA Cert-Chain habe ich auf dem Server in /etc/ssl/certs abgelegt. Vorher war die TLS-Verbindung immer untrusted.
Hier mal Auszüge aus dem Log:
Jan 28 10:59:58 exts098 postfix/smtp[19043]: setting up TLS connection to exchange[10.17.101.63]:25 Jan 28 10:59:58 exts098 postfix/smtp[19043]: Trusted TLS connection established to exchange[10.17.101.63]:25: TLSv1 with cipher RC4-MD5 (128/128 bits) -- Jan 28 11:06:53 exts098 postfix/smtp[17667]: setting up TLS connection to exchange[10.17.101.63]:25 Jan 28 11:06:53 exts098 postfix/smtp[17667]: CA certificate verification failed for exchange[10.17.101.63]:25: num=7:certificate signature failure -- Jan 28 11:08:23 exts098 postfix/smtp[17667]: setting up TLS connection to exchange[10.17.101.63]:25 Jan 28 11:08:23 exts098 postfix/smtp[17667]: Trusted TLS connection established to exchange[10.17.101.63]:25: TLSv1 with cipher RC4-MD5 (128/128 bits)
Marc
Am 28.01.2015 um 11:20 schrieb Marc Patermann:
Hallo,
ich schicke Mails an einen externen Exchange-Server. Die TLS-Verbindung wird teilweise "Trusted" aufgebaut, teilweise mit "A certificate verification failed for exchange[10.17.101.63]:25: num=7:certificate signature failure" aufgebaut. Wie kann das sein? Die CA Cert-Chain habe ich auf dem Server in /etc/ssl/certs abgelegt. Vorher war die TLS-Verbindung immer untrusted.
Hier mal Auszüge aus dem Log:
Jan 28 10:59:58 exts098 postfix/smtp[19043]: setting up TLS connection to exchange[10.17.101.63]:25 Jan 28 10:59:58 exts098 postfix/smtp[19043]: Trusted TLS connection established to exchange[10.17.101.63]:25: TLSv1 with cipher RC4-MD5 (128/128 bits) -- Jan 28 11:06:53 exts098 postfix/smtp[17667]: setting up TLS connection to exchange[10.17.101.63]:25 Jan 28 11:06:53 exts098 postfix/smtp[17667]: CA certificate verification failed for exchange[10.17.101.63]:25: num=7:certificate signature failure -- Jan 28 11:08:23 exts098 postfix/smtp[17667]: setting up TLS connection to exchange[10.17.101.63]:25 Jan 28 11:08:23 exts098 postfix/smtp[17667]: Trusted TLS connection established to exchange[10.17.101.63]:25: TLSv1 with cipher RC4-MD5 (128/128 bits)
Marc
war die "failed mail" noch in der warteschleife vorher ?
je nach Bedarf wuerde ich das ohnehin "extra" definieren RC4-MD5 ist nicht wirklich der Renner
https://sys4.de/de/blog/2014/02/07/tls-library-problem-ssl3_get_recordwrong-... http://archives.neohapsis.com/archives/postfix/2013-11/0121.html
Best Regards MfG Robert Schetterer
Zitat von Marc Patermann hans.moser@ofd-z.niedersachsen.de:
Hallo,
ich schicke Mails an einen externen Exchange-Server. Die TLS-Verbindung wird teilweise "Trusted" aufgebaut, teilweise mit "A certificate verification failed for exchange[10.17.101.63]:25: num=7:certificate signature failure" aufgebaut. Wie kann das sein? Die CA Cert-Chain habe ich auf dem Server in /etc/ssl/certs abgelegt. Vorher war die TLS-Verbindung immer untrusted.
Hier mal Auszüge aus dem Log:
Jan 28 10:59:58 exts098 postfix/smtp[19043]: setting up TLS connection to exchange[10.17.101.63]:25 Jan 28 10:59:58 exts098 postfix/smtp[19043]: Trusted TLS connection established to exchange[10.17.101.63]:25: TLSv1 with cipher RC4-MD5 (128/128 bits) -- Jan 28 11:06:53 exts098 postfix/smtp[17667]: setting up TLS connection to exchange[10.17.101.63]:25 Jan 28 11:06:53 exts098 postfix/smtp[17667]: CA certificate verification failed for exchange[10.17.101.63]:25: num=7:certificate signature failure -- Jan 28 11:08:23 exts098 postfix/smtp[17667]: setting up TLS connection to exchange[10.17.101.63]:25 Jan 28 11:08:23 exts098 postfix/smtp[17667]: Trusted TLS connection established to exchange[10.17.101.63]:25: TLSv1 with cipher RC4-MD5 (128/128 bits)
Hallo,
ist eventuell ein Load-Balancer vor den eigentlichen Exchange Server? Möglich wäre auch ein "smarte" Firewall die den Datenverkehr "optimiert" wie es von z.B. Cisco bekannt ist.
Gruß
Andreas
participants (3)
-
lst_hoe02@kwsoft.de -
Marc Patermann -
Robert Schetterer