bloodstix
Goto Top

Nextcloud TLS-Problem bei Termineinladungen

Hall zusammen,

wir dachten bisher unser Nextcloud-Hub funktioniert einwandfrei, bis heute mal jemand getestet hat ob Termineinladungen funktionieren.
Versenden mit der Mail-App funktioniert ganz normal.
Wenn man eine Termineinladung mit einem Teilnehmer erstellt seh ich aufm Postfix nur folgendes:
Sep 15 15:15:03 email postfix/smtpd[5127]: lost connection after STARTTLS from nextcloud.xx.xxx.de[10.1.3.166]
Sep 15 15:15:03 email postfix/smtpd[5127]: disconnect from nextcloud.xx.xxx.de[10.1.3.166] ehlo=1 starttls=0/1 commands=1/2
Sep 15 15:15:03 email postfix/smtpd[5127]: connect from nextcloud.xx.xxx.de[10.1.3.166]
Sep 15 15:15:03 email postfix/smtpd[5127]: SSL_accept error from nextcloud.xx.xxx.de[10.1.3.166]: -1
Sep 15 15:15:03 email postfix/smtpd[5127]: warning: TLS library problem: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca:../ssl/record/rec_layer_s3.c:1407:SSL alert number 48:
Hab auch schon gegoogelt und einiges ausprobiert. U.a.
'app.mail.verify-tls-peer' => false,  
in der nextcloud-config. Auch debugging in Nextcloud aktiviert, aber wirklich etwas rumgekommen ist dabei nicht. Aber eigentlich ist das ja ein Postfix-Problem denke ich und keins konkret was man mit nextcloud-Optionen erschlagen kann.

Hat jemand von euch vielleicht eine Idee?

Extern hat die Nextcloud-Instanz ein Letsencrypt-Zertifikat. Mailserver und Nextcloud sind im selben LAN.

Grüße
bloody

Content-Key: 604628

Url: https://administrator.de/contentid/604628

Printed on: May 29, 2024 at 06:05 o'clock

Member: falscher-sperrstatus
falscher-sperrstatus Sep 15, 2020 at 13:27:05 (UTC)
Goto Top
Unknknown ca:../ssl/record/rec_layer_s3.c:1407:SSL

Letzte Zeile sagt doch schon alles. Setz da Mal an...wenn du damit nicht weiter kommst, klopf gerne an.

Grüße
Member: aqui
aqui Sep 15, 2020 at 13:31:10 (UTC)
Goto Top
Member: bloodstix
bloodstix Sep 15, 2020 updated at 13:35:37 (UTC)
Goto Top
@certifiedit.net ja lesen kann ich schon ;) hab ja gesagt hab auch schon gegoogled wie ein Weltmeister.

@aqui ich seh ja leider nicht mit was die Nextcloud bei Termineinladungen genau versendet ... sonst wäre ich sicher schon ein Stück weiter.
Und das debug-Log von Nextcloud gibt auch nichts her. Der Befehl "v-update-host-certificate" existiert auf meiner Nextcloud-Instanz nicht.

Ich könnte natürlich mal smtp-debugging im Postfix für den peer einschalten ... hmm mal versuchen.

Grüße
bloody
Member: bloodstix
bloodstix Sep 15, 2020 at 13:43:20 (UTC)
Goto Top
Ok, postfix peer_debug_level = 4 mit dem Nextcloud in der Liste ergibt folgendes, woraus ich leider aktuell auch nicht schlau werde:
Sep 15 15:38:46 email postfix/smtpd[7831]: connect from nextcloud.xx.xxx.de[10.1.3.166]
Sep 15 15:38:46 email postfix/smtpd[7831]: smtp_stream_setup: maxtime=300 enable_deadline=0
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostname: smtpd_client_event_limit_exceptions: nextcloud.xx.xxx.de ~? 192.168.200.0/24
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostaddr: smtpd_client_event_limit_exceptions: 10.1.3.166 ~? 192.168.200.0/24
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostname: smtpd_client_event_limit_exceptions: nextcloud.xx.xxx.de ~? 127.0.0.0/8
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostaddr: smtpd_client_event_limit_exceptions: 10.1.3.166 ~? 127.0.0.0/8
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostname: smtpd_client_event_limit_exceptions: nextcloud.xx.xxx.de ~? 10.1.0.0/16
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostaddr: smtpd_client_event_limit_exceptions: 10.1.3.166 ~? 10.1.0.0/16
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 220 bee.de mail.xxx.de ESMTP Postfix (Debian/GNU)
Sep 15 15:38:46 email postfix/smtpd[7831]: watchdog_pat: 0x55a00a1b6670
Sep 15 15:38:46 email postfix/smtpd[7831]: vstream_fflush_some: fd 16 flush 51
Sep 15 15:38:46 email postfix/smtpd[7831]: vstream_buf_get_ready: fd 16 got 17
Sep 15 15:38:46 email postfix/smtpd[7831]: < nextcloud.xx.xxx.de[10.1.3.166]: EHLO hub.xxx.de
Sep 15 15:38:46 email postfix/smtpd[7831]: match_list_match: nextcloud.xx.xxx.de: no match
Sep 15 15:38:46 email postfix/smtpd[7831]: match_list_match: 10.1.3.166: no match
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250-mail.xxx.de
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250-PIPELINING
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250-SIZE
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250-VRFY
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250-ETRN
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250-STARTTLS
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250-ENHANCEDSTATUSCODES
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250-8BITMIME
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250-DSN
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250 SMTPUTF8
Sep 15 15:38:46 email postfix/smtpd[7831]: watchdog_pat: 0x55a00a1b6670
Sep 15 15:38:46 email postfix/smtpd[7831]: vstream_fflush_some: fd 16 flush 139
Sep 15 15:38:46 email postfix/smtpd[7831]: vstream_buf_get_ready: fd 16 got 10
Sep 15 15:38:46 email postfix/smtpd[7831]: < nextcloud.xx.xxx.de[10.1.3.166]: STARTTLS
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 220 2.0.0 Ready to start TLS
Sep 15 15:38:46 email postfix/smtpd[7831]: vstream_fflush_some: fd 16 flush 30
Sep 15 15:38:46 email postfix/smtpd[7831]: event_request_timer: reset 0x7f6019a0fb30 0x55a00a19b760 5
Sep 15 15:38:46 email postfix/smtpd[7831]: send attr request = seed
Sep 15 15:38:46 email postfix/smtpd[7831]: send attr size = 32
Sep 15 15:38:46 email postfix/smtpd[7831]: vstream_fflush_some: fd 10 flush 22
Sep 15 15:38:46 email postfix/smtpd[7831]: vstream_buf_get_ready: fd 10 got 60
Sep 15 15:38:46 email postfix/smtpd[7831]: private/tlsmgr: wanted attribute: status
Sep 15 15:38:46 email postfix/smtpd[7831]: input attribute name: status
Sep 15 15:38:46 email postfix/smtpd[7831]: input attribute value: 0
Sep 15 15:38:46 email postfix/smtpd[7831]: private/tlsmgr: wanted attribute: seed
Sep 15 15:38:46 email postfix/smtpd[7831]: input attribute name: seed
Sep 15 15:38:46 email postfix/smtpd[7831]: input attribute value: TA3X+OScfqaRoOW+75IegRTXCEx9LARyZrNc93nrCnA=
Sep 15 15:38:46 email postfix/smtpd[7831]: private/tlsmgr: wanted attribute: (list terminator)
Sep 15 15:38:46 email postfix/smtpd[7831]: input attribute name: (end)
Sep 15 15:38:46 email postfix/smtpd[7831]: SSL_accept error from nextcloud.xx.xxx.de[10.1.3.166]: -1
Sep 15 15:38:46 email postfix/smtpd[7831]: warning: TLS library problem: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca:../ssl/record/rec_layer_s3.c:1407:SSL alert number 48:
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostname: smtpd_client_event_limit_exceptions: nextcloud.xx.xxx.de ~? 192.168.200.0/24
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostaddr: smtpd_client_event_limit_exceptions: 10.1.3.166 ~? 192.168.200.0/24
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostname: smtpd_client_event_limit_exceptions: nextcloud.xx.xxx.de ~? 127.0.0.0/8
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostaddr: smtpd_client_event_limit_exceptions: 10.1.3.166 ~? 127.0.0.0/8
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostname: smtpd_client_event_limit_exceptions: nextcloud.xx.xxx.de ~? 10.1.0.0/16
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostaddr: smtpd_client_event_limit_exceptions: 10.1.3.166 ~? 10.1.0.0/16
Sep 15 15:38:46 email postfix/smtpd[7831]: lost connection after STARTTLS from nextcloud.xx.xxx.de[10.1.3.166]
Member: Dani
Dani Sep 15, 2020 at 13:47:44 (UTC)
Goto Top
Moin bloody,
Wenn man eine Termineinladung mit einem Teilnehmer erstellt seh ich aufm Postfix nur folgendes:
Was steht in data/nextcloud.log?

Sep 15 15:15:03 email postfix/smtpd[5127]: warning: TLS library problem: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca:../ssl/record/rec_layer_s3.c:1407:SSL alert number 48:
Die Fehlermeldung deutet daraufhin, dass das SSL-Zertifikat bzw. dessen Stammzertifizierungsstelle (CA) nicht verifiziert werden konnte.

'app.mail.verify-tls-peer' => false,
Ich bin grad am überlegen, ob du false in Hochkommas setzen musst...

Extern hat die Nextcloud-Instanz ein Letsencrypt-Zertifikat. Mailserver und Nextcloud sind im selben LAN.
Woher stammt das SSL-Zertifikat, dass ihr auf dem Postfix-Server nutzt?


Gruß,
Dani
Member: bloodstix
bloodstix Sep 15, 2020 at 13:53:42 (UTC)
Goto Top
Hallo Dani,

worauf der Fehler hindeutet ist mir ja klar. Ich bin mir nur nicht sicher ob es am Client oder Server liegt.
Der Mailserver nutzt eines von einer selbsterstellen openssl CA, also "quasi" selbstsigniert. Nutzen das aber schon seit Jahren so und haben nie Probleme mit irgend einem Client/Server gehabt...würde da ja auch ein LE-Zertifikat nutzen, aber für eine interne Domain schlecht umsetzbar.

Grüße
bloody
Member: Dani
Solution Dani Sep 15, 2020 at 14:03:07 (UTC)
Goto Top
Moin,
Ich bin mir nur nicht sicher ob es am Client oder Server liegt.
in diesem Fall schlägt die Prüfung seites Nextcloud/PHP fehl. Daher dein Ansatz mit dem Parameter 'app.mail.verify-tls-peer' und meiner Idee den Wert einmal in Hochkommas zu setzen. Ich weiß allerdings nicht, ob der Parameter app.mail.verify-tls-peer in neuen Version von Nextcloud noch funktioniert.

Abhilfe schaffst du meiner Ansicht nach, wenn du das Stammzertifikat deines Self-Signed in den Zertifikatsspeicher des Nextcloud Servers aufnimmst.

Nutzen das aber schon seit Jahren so und haben nie Probleme mit irgend einem Client/Server gehabt...
Na, du wirst ja sicherlich auf einem oder sogar beiden Servern etwas verändert haben?!

würde da ja auch ein LE-Zertifikat nutzen, aber für eine interne Domain schlecht umsetzbar.
Es gibt da Tricks... aber das sprengt hier den Rahmen.


Gruß,
Dani
Member: bloodstix
bloodstix Sep 15, 2020 at 14:08:27 (UTC)
Goto Top
Ja, das Cert von der selfsigned CA hat ich vorhin schon auf dem Nextcloud-Server abgelegt und mit
update-ca-certificates
bekannt gemacht. Hat nur leider nichts gebracht. Selber Fehler. Allerdings bin ich mir nich sicher ob ich nicht den Apache dafür noch neu starten muss...
Teste ich mal.

Nein habe nichts verändert. Meinte den Mailserver nutzen wir seit Jahren mit dem Cert und nie Probleme damit gehabt.
Member: Dani
Dani Sep 15, 2020 at 14:17:39 (UTC)
Goto Top
Nein habe nichts verändert. Meinte den Mailserver nutzen wir seit Jahren mit dem Cert und nie Probleme damit gehabt.
Auch keine Updates/Upgrades des Betriebssystems , PHP und Nextcloud in den letzten Jahren?!

Ja, das Cert von der selfsigned CA hat ich vorhin schon auf dem Nextcloud-Server abgelegt und mit
Nur im sicher zu gehen:
a) Das Zertifikat im BASE64 Format mit der Endung .crt abgespeichert bzw. hochgeladen?
b) Die Datei unter /usr/share/ca-certificates/ abgelegt?
c) update-ca-certificates

Wenn du dir unsicher bist, kannst du das Ganze auch so versuchen:
echo | openssl s_client -showcerts -servername mailserver.domain.de -connect smtp.domain.de 2>/dev/null | awk '/-----BEGIN CERTIFICATE-----/, /-----END CERTIFICATE-----/' >> /usr/local/share/ca-certificates/ca-certificates.crt   


Gruß,
Dani
Member: aqui
Solution aqui Sep 15, 2020 updated at 15:12:56 (UTC)
Goto Top
Der Mailserver nutzt eines von einer selbsterstellen openssl CA, also "quasi" selbstsigniert.
Sucht man nach der Fehlermeldung "warning: TLS library problem: error:14094418" besagten ca. 85% aller Treffer das der Fehler mit überwiegender Mehrheit eben genau das ist und mit einem offiziellen Zertifikat das Problem nicht mehr auftritt.
Eine von Hunderten zu dem Thema:
https://help.nextcloud.com/t/test-email-settings-error-unable-to-connect ...
https://help.nextcloud.com/t/nextcloud-email-settings-problem/3671
usw.
Member: bloodstix
bloodstix Sep 16, 2020 at 07:12:24 (UTC)
Goto Top
Moin,

so, apache neu gestartet, keine Besserung.

Das hier ausprobiert, mit dem $transport in getSmtpInstance hinzufügen:
https://help.nextcloud.com/t/test-email-settings-error-unable-to-connect ...
leider auch keine Besserung. Bin gerade ein wenig am verzweifeln....

Grüße
bloody
Member: bloodstix
bloodstix Sep 17, 2020 at 08:53:20 (UTC)
Goto Top
So,
ich konnte es lösen!

Habe in der config.php von Nextcloud folgendes hinzugefügt:
'mail_smtpstreamoptions' => array(  
          'ssl' => array(  
                  'allow_self_signed' => true,  
                  'verify_peer' => false,  
                  'verify_peer_name' => false  
          )
  ),
Da Nextcloud eh unseren internen Mailserver als Relay nutzt, entsteht dadurch auch keine Sicherheitslücke.

Grüße
bloody

p.s: Warum kann ich meine eigenen Beiträge nicht als "zur Lösung beigetragen" etc. markieren? Wegen Eigenlob stinkt oder was?^^
Member: Lochkartenstanzer
Lochkartenstanzer Sep 17, 2020 updated at 09:11:33 (UTC)
Goto Top
Zitat von @bloodstix:

p.s: Warum kann ich meine eigenen Beiträge nicht als "zur Lösung beigetragen" etc. markieren? Wegen Eigenlob stinkt oder was?^^

Nein, weil das den Highscore verfälschen würde. face-smile

lks
Member: bloodstix
bloodstix Sep 17, 2020 at 09:48:33 (UTC)
Goto Top
@Lochkartenstanzer Naja was heißt verfälschen, habe ja nunmal selbst zur Lösung beigetragen ;D ...
Member: aqui
aqui Sep 17, 2020 at 10:03:45 (UTC)
Goto Top
Feature Request per PM an @Frank schicken. face-wink
Member: Lochkartenstanzer
Lochkartenstanzer Sep 17, 2020 at 10:04:20 (UTC)
Goto Top
Zitat von @bloodstix:

@Lochkartenstanzer Naja was heißt verfälschen, habe ja nunmal selbst zur Lösung beigetragen ;D ...

Naja, wenn man sich selbst Punkte gibt, um im Highscore nach oben zu kommen ist das schon verfälscht face-smile (es finden sich sicher genug Trolle die das dann ausnützen würden).

lks