<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
Vielen Dank Leute für eure sehr hilfreichen Antworten.<br>
Anbei noch meine Kommentare zwischen den Zeilen<br>
<br>
<div class="moz-cite-prefix">Am 26.10.2021 um 11:49 schrieb Florian
Schaal:<br>
</div>
<blockquote type="cite"
cite="mid:e6e8d957-7def-54bc-2829-cd9f6519ce48@schaal-24.de">Du
kannst auch das abgelaufene Root-Zertifkat auf dem Server löschen.
Das sollte reichen.
<br>
</blockquote>
Auf meinem neuen Server dürfte es kein abgelaufenes Root-Zertifikat
geben, da die neuen Zertifikate ja erst letzten Samstag erstellt
wurden? Da gab es vorher noch keine Zertifikate.<br>
<blockquote type="cite"
cite="mid:e6e8d957-7def-54bc-2829-cd9f6519ce48@schaal-24.de">
<br>
Sonst kannst Du das noch über smtpd_tls_CAfile mitschicken
<br>
<br>
Am 26.10.2021 um 11:00 schrieb Tobi:
<br>
<blockquote type="cite">Das DST Root CA X3 ist abgelaufen, was
noch Letsencrypt auch lange im
<br>
Voraus angekündigt wurde:
<br>
<a class="moz-txt-link-freetext" href="https://community.letsencrypt.org/t/production-chain-changes/150739">https://community.letsencrypt.org/t/production-chain-changes/150739</a>
<br>
<br>
Der sendende Client scheint die neue Chain nicht zu kennen und
kann
<br>
damit dein LE Cert nicht verifizieren. Das sollte aber
eigentlich nur
<br>
recht alte Clients betreffen, welche keine Updates der Trust
Stores
<br>
mehr erhalten.
<br>
</blockquote>
</blockquote>
OK, und somit sein Problem.<br>
<blockquote type="cite"
cite="mid:e6e8d957-7def-54bc-2829-cd9f6519ce48@schaal-24.de">
<blockquote type="cite">
<br>
Du kannst auf einen anderen Anbieter wechseln und darauf hoffen,
dass
<br>
der Client dann dessen Chain validieren kann. Oder damit leben,
dass
<br>
gewisse alte Clients keine SSL/TLS Verbindung mehr zu Dir
hinbekommen.
<br>
Sie sollten in dem Fall ja eigentlich auf non-ssl/tls
zurückfallen.
<br>
</blockquote>
</blockquote>
Genau, wenn schon keine verschlüsselte Verbindung dann eben ohne,
Dank smtpd_tls_security_level = may<span style="color: rgb(51, 51,
51); font-family: "Helvetica Neue", Helvetica, Arial,
sans-serif; font-size: 14px; font-style: normal;
font-variant-ligatures: normal; font-variant-caps: normal;
font-weight: 400; letter-spacing: normal; orphans: 2; text-align:
start; text-indent: 0px; text-transform: none; white-space:
normal; widows: 2; word-spacing: 0px; -webkit-text-stroke-width:
0px; background-color: rgb(255, 255, 255);
text-decoration-thickness: initial; text-decoration-style:
initial; text-decoration-color: initial; display: inline
!important; float: none;"><span></span></span>.<br>
<blockquote type="cite"
cite="mid:e6e8d957-7def-54bc-2829-cd9f6519ce48@schaal-24.de">
<blockquote type="cite">
<br>
Gruss
<br>
<br>
tobi
<br>
<br>
On ማክሰ, 2021-10-26 at 09:47 +0200, Andreas Wass - Glas
Gasperlmair
<br>
wrote:
<br>
<blockquote type="cite">Vielen Dank Markus, für deine
ausführliche Antwort wieder einmal!
<br>
<br>
Kann ich denn von meiner Seite aus etwas dazu beitragen
(Konfiguration
<br>
oder kostenpflichtiges Zertifikat)?
<br>
<br>
vg, Andi
<br>
<br>
Am 25.10.2021 um 21:38 schrieb Markus Winkler:
<br>
<blockquote type="cite">Hi Andi,
<br>
<br>
ich vermute mal, dass das Problem:
<br>
<br>
<blockquote type="cite">Oct 25 08:59:14 mail
postfix/submission/smtpd[33873]: warning: TLS
<br>
library problem: error:14094416:SSL
routines:ssl3_read_bytes:sslv3
<br>
alert certificate
unknown:../ssl/record/rec_layer_s3.c:1543:SSL
<br>
alert
<br>
number 46:
<br>
</blockquote>
<br>
(der Client
213-225-38-118.nat.highway.a1.net[213.225.38.118] kann
<br>
Dein Server-Cert nicht verifizieren)
<br>
<br>
damit zusammenhängt:
<br>
<br>
On 25.10.21 11:13, Andreas Wass - Glas Gasperlmair wrote:
<br>
<blockquote type="cite">
<br>
openssl s_client -starttls smtp -connect
<br>
mail1.glasgasperlmair.at:25
<br>
<br>
Certificate chain
<br>
0 s:CN = mail1.glasgasperlmair.at
<br>
i:C = US, O = Let's Encrypt, CN = R3
<br>
1 s:C = US, O = Let's Encrypt, CN = R3
<br>
i:C = US, O = Internet Security Research Group, CN =
ISRG Root
<br>
X1
<br>
2 s:C = US, O = Internet Security Research Group, CN =
ISRG Root
<br>
X1
<br>
i:O = Digital Signature Trust Co., CN = DST Root CA
X3
<br>
</blockquote>
<br>
------------^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
<br>
<br>
Wenn man sich die oben aufgeführten Certs, die Dein Server
einem
<br>
die Nr. 2) u. a. folgendes angezeigt:
<br>
<br>
Certificate:
<br>
Data:
<br>
Version: 3 (0x2)
<br>
Serial Number:
<br>
40:01:77:21:37:d4:e9:42:b8:ee:76:aa:3c:64:0a:b7
<br>
Signature Algorithm: sha256WithRSAEncryption
<br>
Issuer: O = Digital Signature Trust Co., CN = DST
Root CA X3
<br>
Validity
<br>
Not Before: Jan 20 19:14:03 2021 GMT
<br>
Not After : Sep 30 18:14:03 2024 GMT
<br>
ISRG Root X1
<br>
[...]
<br>
X509v3 Authority Key Identifier:
<br>
keyid:C4:A7:B1:A4:7B:2C:71:FA:DB:E1:4B:90:75:FF:C4:15:60:85:89:10
<br>
<br>
<br>
Und für dessen Issuer 'CN = DST Root CA X3' (Key Identifier:
C4:A7:B1
<br>
... 85:89:10) gilt:
<br>
<br>
Validity (Expired)
<br>
Not Before: Sep 30 21:12:19 2000 GMT
<br>
Not After : Sep 30 14:01:15 2021 GMT
<br>
<br>
(<a class="moz-txt-link-freetext" href="https://crt.sh/?id=8395">https://crt.sh/?id=8395</a>)
<br>
<br>
Wenn der einliefernde Client nur dieses Root-Cert nimmt, das
Dein
<br>
nicht trauen. Hat der Client jedoch einen aktuellen CA Root
Store und
<br>
schaut sich den alternativen Cert-Path an, wird er dieses
<br>
kennen/akzeptieren:
<br>
<br>
<a class="moz-txt-link-freetext" href="https://crt.sh/?id=9314791">https://crt.sh/?id=9314791</a>
<br>
<br>
womit dann auch das Intermediate 'C = US, O = Let's Encrypt,
CN = R3'
<br>
gültig ist und somit ebenso Dein 'CN =
mail1.glasgasperlmair.at' -
<br>
damit dürften von solchen Client in Deinem Log dann keine
Cert-Fehler
<br>
mehr zu sehen sein.
<br>
<br>
Denke ich mal. ;-)
<br>
<br>
Siehe auch hier:
<a class="moz-txt-link-freetext" href="https://letsencrypt.org/certificates/#cross-signing">https://letsencrypt.org/certificates/#cross-signing</a>
<br>
<br>
Viele Grüße
<br>
Markus
<br>
</blockquote>
</blockquote>
<br>
<br>
</blockquote>
<br>
</blockquote>
<br>
</body>
</html>