sendEmail bring Fehler => TLS setup failed

Otto123 · 24 März 2021, 21:09:06

Ich denke: Du hast irgendwas im System verhunzt

4 Schritte:

Zitat von: Otto123 am 24 März 2021, 20:11:31
Mein Tipp: Mach ein neues System und teste eine neue debianmail Routine laut Wiki. Geht ja alles auf Kommandozeile und braucht erstmal kein FHEM

Code Auswählen

sudo apt-get update
sudo apt-get install sendemail libio-socket-ssl-perl libnet-ssleay-perl perl

ZitatMan kann die korrekte Funktion im Terminal (ohne {qx()} ) oder auch in der FHEM Kommandozeile testen

Code Auswählen Erweitern
{qx(sendemail -f "Ab\@send.er" -t "Emp\@faeng.er" -u 'subject' -m 'text' -a 'DateinameOderLeer' -s 'smtpFQDN' -xu 'MailUser' -xp 'PasswortOhneKlammeraffen')}

Gunter1710 · 24 März 2021, 21:25:29

Der Meinung bin ich nun auch. Irgendwas hat wohl bei der Debain Installation nicht richtig funktioniert.

Ich werde am Wochenende eine neue SDcard reinstecken und wieder von vorne anfangen.

Danke an @Otto123 und @Wernieman für eure Mühe.

Ich werde über mein Erfolg/Misserfolg berichten

Otto123 · 24 März 2021, 22:14:58

Kommando zurück!
Die angesprochenen Root Zertifikate fehlen offenbar komplett

Lösung:

Code Auswählen

sudo apt install ca-certificates

Mein Befehl aus Beitrag #7 hätte Dir das Problem gezeigt

Allerdings will ich gleich anmerken: gmail ist per default nicht verwendbar, Du musst erst die erweiterte Sicherheit abschalten.

Edit: Habe das Wiki ergänzt

Gunter1710 · 25 März 2021, 06:17:09

Zitat von: Otto123 am 24 März 2021, 22:14:58
Kommando zurück!
Die angesprochenen Root Zertifikate fehlen offenbar komplett
Lösung:
Code Auswählen Erweitern
sudo apt install ca-certificates

Mein Befehl aus Beitrag #7 hätte Dir das Problem gezeigt

Allerdings will ich gleich anmerken: gmail ist per default nicht verwendbar, Du musst erst die erweiterte Sicherheit abschalten.

Edit: Habe das Wiki ergänzt

Danke Otto123, aber auch das hat alles nicht geholfen. Ich vermute bei der Installation meines Rapsi 4 ist irgend etwas grundlegendes schief gelaufen. Nachdem ich eine neue SDcard verwendet habe und alles noch mal neu installiert habe geht es nun.

Danke noch mal für deine Hilfe!!!!

Otto123 · 25 März 2021, 11:04:56

Schön das es funktioniert. 👍
Aber immerhin hatte ich genau den gleichen Fehler und in diesem System fehlten besagte ca-certificates. Bei einem anderen Problem hatte ich das auch schon mal ...
Es gibt offenbar Systeme wo die in der Grundinstallation nicht dabei sind.

gvzdus · 25 März 2021, 12:01:14

Ich war neugierig und habe es mir angeguckt:
Mein Raspbian Buster fluppt perfekt mit Gmail, wenn die Sicherheitseinstellung bei Google geändert wird. Und in Sachen Crypto-Stack ist das auch alles "State of art":

Code Auswählen

Mar 25 11:57:51 sauerberry sendemail[15466]: SUCCESS => Received: 	220 2.0.0 Ready to start TLS
Mar 25 11:57:51 sauerberry sendemail[15466]: DEBUG => TLS: Using cipher: TLS_AES_256_GCM_SHA384
Mar 25 11:57:51 sauerberry sendemail[15466]: DEBUG => TLS: Using version: TLSv1_3
Mar 25 11:57:51 sauerberry sendemail[15466]: DEBUG => TLS session initialized :)

(Die Zeile mit dem TLSv1_3 habe ich aus Neugier in den Source von sendemail gepackt.)

frober · 02 November 2021, 20:03:02

Hi, ich hänge mich mal hier mit ran.

Ich habe seit 28.10.21 den gleichen Fehler:

Code Auswählen

2021.11.02 00:10:02 1: sendEmail returned: Nov 02 00:10:02 raspberrypi sendEmail[30437]: ERROR => TLS setup failed: SSL connect attempt failed error:1416F086:SSL

Am 28.10. um 00:10 wurde noch eine Mail versendet, am gleichen Tag gegen 20:00 kam dann der Fehler.
Von mir wurde nichts verändert. Ca-Certifikates sind aktuell.

Die Mails werden mit den gleichen Einstellungen von OMV (Debian Buster), OpenWRT und Windows weiterhin problemlos versendet.

Nur bei Raspbian funktioniert es nicht mehr.
Getestet auf meiner Prod mit aktuellem Stretch, auf der Dev. mit älterem Stretch und mit aktuellem Buster. Alle die gleiche ca-certifikates Version (20200601~deb9u2, bzw. 20200601~deb10u2).
OMV verwendet auch die 20200601~deb10u2.

Ich habe aktuell einen anderen Mailaccount eingerichtet, das funktioniert.

Ich würde gerne verstehen, warum das nicht mehr funktioniert.
Ist es möglich, dass Raspbian ein älteres Zertifikat verwendet, das abgelaufen ist. Kann es überhaupt unterschiedliche Zertifikate für den Account geben?

Danke und Grüße
Bernd

Otto123 · 02 November 2021, 20:45:51

Hallo Bernd,

Es klingt schon nach einem abgelaufenen Zertifikat.

Ein anderer Account = andere Domäne?

Ich bin nicht sicher, ob einzelne Rootzertifikate alt sein könnten / beim update nicht ersetzt sein könnten.

Hab es nicht probiert -> https://de.godaddy.com/blog/ssl-cert-check-erkennt-ablaufende-ssl-zertifikate/

Gruß Otto

frober · 02 November 2021, 20:58:11

Hallo Otto,

ja, andere Domain.

Danke für den Link, das werde ich mir anschauen.

Wenn das Zertifikat wirklich abgelaufen ist, dann heißt das, dass Debian und Raspbian, trotz gleicher Version, unterschiedliche Zertifikate ausrollen!?

Otto123 · 03 November 2021, 08:47:17

ich würde eher vermuten, das eventuell bei einem update der Zertifikate was passieren kann?

Wernieman · 03 November 2021, 09:29:34

Raspian baut auf Debian auf .. kann aber trotzdem unterschiedliche Pakete enthalten. Ich vermute aber auch, das Du Recht hast, bezüglich Zertifikat.

Von welcher Problemdomain reden wir eigentlich?

frober · 03 November 2021, 09:50:38

Zitat von: Wernieman am 03 November 2021, 09:29:34

Von welcher Problemdomain reden wir eigentlich?

Arcor, bzw. aktuell Vodafone

Bei beiden
mail.arcor.de:587
smtp.vodafonemail.de:587

Vodafone gibt den Port mit 465 an, das hat bei mir nie funktioniert.

Die ca-certifikates habe ich auch schon mit --reinstall erneuert, trotz reboot keine Änderung.

Wernieman · 03 November 2021, 10:29:51

Gucke ich mir heute Abend (hoffentlich) an ...

frober · 03 November 2021, 18:52:17

Ich habe das Script getestet:

Code Auswählen

sudo ./ssl-cert-check -s mail.arcor.de -p 587

Host                                            Status       Expires      Days
----------------------------------------------- ------------ ------------ ----
mail.arcor.de:587                               Expiring     Nov 19, 2021   16

Code Auswählen

sudo ./ssl-cert-check -i -s smtp.vodafonemail.de -p 587

Host                                Issuer            Status   Expires     Days
----------------------------------- ----------------- -------- ----------- ----
smtp.vodafonemail.de:587            Sectigo Limited   Expiring Nov 19 2021   16

Code Auswählen

sudo ./ssl-cert-check -s smtp.vodafonemail.de -p 465

Host                                            Status       Expires      Days
----------------------------------------------- ------------ ------------ ----
smtp.vodafonemail.de:465                        Expiring     Nov 19, 2021   16
6

Da existiert sogar PORT 465 und es gilt noch 16 Tage.

Bei der Abfrage vom Verzeichnis wird leider nur ein Ergebnis angezeigt. Da ich keinen Namen Sectigo Limited bzw. Vodafone zuordnen kann und über 134 Zertifikate einzeln abzufragen mir zu viel ist, lass ich das mal so stehen.

Code Auswählen

sudo ./ssl-cert-check -d /etc/ssl/certs/*.pem

Host                                            Status       Expires      Days
----------------------------------------------- ------------ ------------ ----
FILE:/etc/ssl/certs/ACCVRAIZ1.pem               Valid        Dec 31, 2030 3345

Otto123 · 03 November 2021, 19:56:02

ZitatAdd a "-d" option to specify a directory or file mask pattern -- Marcel Pennewiss

Code Auswählen

./ssl-cert-check -d /etc/ssl/certs/ |grep Expired