Nextcloud TLS-Problem bei Termineinladungen

bloodstix
Goto Top
Hall zusammen,

wir dachten bisher unser Nextcloud-Hub funktioniert einwandfrei, bis heute mal jemand getestet hat ob Termineinladungen funktionieren.
Versenden mit der Mail-App funktioniert ganz normal.
Wenn man eine Termineinladung mit einem Teilnehmer erstellt seh ich aufm Postfix nur folgendes:
Hab auch schon gegoogelt und einiges ausprobiert. U.a.
in der nextcloud-config. Auch debugging in Nextcloud aktiviert, aber wirklich etwas rumgekommen ist dabei nicht. Aber eigentlich ist das ja ein Postfix-Problem denke ich und keins konkret was man mit nextcloud-Optionen erschlagen kann.

Hat jemand von euch vielleicht eine Idee?

Extern hat die Nextcloud-Instanz ein Letsencrypt-Zertifikat. Mailserver und Nextcloud sind im selben LAN.

Grüße
bloody

Content-Key: 604628

Url: https://administrator.de/contentid/604628

Ausgedruckt am: 18.08.2022 um 22:08 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 15.09.2020 um 15:27:05 Uhr
Goto Top
Unknknown ca:../ssl/record/rec_layer_s3.c:1407:SSL

Letzte Zeile sagt doch schon alles. Setz da Mal an...wenn du damit nicht weiter kommst, klopf gerne an.

Grüße
Mitglied: aqui
aqui 15.09.2020 um 15:31:10 Uhr
Goto Top
Mitglied: bloodstix
bloodstix 15.09.2020 aktualisiert um 15:35:37 Uhr
Goto Top
@certifiedit.net ja lesen kann ich schon ;) hab ja gesagt hab auch schon gegoogled wie ein Weltmeister.

@aqui ich seh ja leider nicht mit was die Nextcloud bei Termineinladungen genau versendet ... sonst wäre ich sicher schon ein Stück weiter.
Und das debug-Log von Nextcloud gibt auch nichts her. Der Befehl "v-update-host-certificate" existiert auf meiner Nextcloud-Instanz nicht.

Ich könnte natürlich mal smtp-debugging im Postfix für den peer einschalten ... hmm mal versuchen.

Grüße
bloody
Mitglied: bloodstix
bloodstix 15.09.2020 um 15:43:20 Uhr
Goto Top
Ok, postfix peer_debug_level = 4 mit dem Nextcloud in der Liste ergibt folgendes, woraus ich leider aktuell auch nicht schlau werde:
Mitglied: Dani
Dani 15.09.2020 um 15:47:44 Uhr
Goto Top
Moin bloody,
Wenn man eine Termineinladung mit einem Teilnehmer erstellt seh ich aufm Postfix nur folgendes:
Was steht in data/nextcloud.log?

Sep 15 15:15:03 email postfix/smtpd[5127]: warning: TLS library problem: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca:../ssl/record/rec_layer_s3.c:1407:SSL alert number 48:
Die Fehlermeldung deutet daraufhin, dass das SSL-Zertifikat bzw. dessen Stammzertifizierungsstelle (CA) nicht verifiziert werden konnte.

'app.mail.verify-tls-peer' => false,
Ich bin grad am überlegen, ob du false in Hochkommas setzen musst...

Extern hat die Nextcloud-Instanz ein Letsencrypt-Zertifikat. Mailserver und Nextcloud sind im selben LAN.
Woher stammt das SSL-Zertifikat, dass ihr auf dem Postfix-Server nutzt?


Gruß,
Dani
Mitglied: bloodstix
bloodstix 15.09.2020 um 15:53:42 Uhr
Goto Top
Hallo Dani,

worauf der Fehler hindeutet ist mir ja klar. Ich bin mir nur nicht sicher ob es am Client oder Server liegt.
Der Mailserver nutzt eines von einer selbsterstellen openssl CA, also "quasi" selbstsigniert. Nutzen das aber schon seit Jahren so und haben nie Probleme mit irgend einem Client/Server gehabt...würde da ja auch ein LE-Zertifikat nutzen, aber für eine interne Domain schlecht umsetzbar.

Grüße
bloody
Mitglied: Dani
Lösung Dani 15.09.2020 um 16:03:07 Uhr
Goto Top
Moin,
Ich bin mir nur nicht sicher ob es am Client oder Server liegt.
in diesem Fall schlägt die Prüfung seites Nextcloud/PHP fehl. Daher dein Ansatz mit dem Parameter 'app.mail.verify-tls-peer' und meiner Idee den Wert einmal in Hochkommas zu setzen. Ich weiß allerdings nicht, ob der Parameter app.mail.verify-tls-peer in neuen Version von Nextcloud noch funktioniert.

Abhilfe schaffst du meiner Ansicht nach, wenn du das Stammzertifikat deines Self-Signed in den Zertifikatsspeicher des Nextcloud Servers aufnimmst.

Nutzen das aber schon seit Jahren so und haben nie Probleme mit irgend einem Client/Server gehabt...
Na, du wirst ja sicherlich auf einem oder sogar beiden Servern etwas verändert haben?!

würde da ja auch ein LE-Zertifikat nutzen, aber für eine interne Domain schlecht umsetzbar.
Es gibt da Tricks... aber das sprengt hier den Rahmen.


Gruß,
Dani
Mitglied: bloodstix
bloodstix 15.09.2020 um 16:08:27 Uhr
Goto Top
Ja, das Cert von der selfsigned CA hat ich vorhin schon auf dem Nextcloud-Server abgelegt und mit
bekannt gemacht. Hat nur leider nichts gebracht. Selber Fehler. Allerdings bin ich mir nich sicher ob ich nicht den Apache dafür noch neu starten muss...
Teste ich mal.

Nein habe nichts verändert. Meinte den Mailserver nutzen wir seit Jahren mit dem Cert und nie Probleme damit gehabt.
Mitglied: Dani
Dani 15.09.2020 um 16:17:39 Uhr
Goto Top
Nein habe nichts verändert. Meinte den Mailserver nutzen wir seit Jahren mit dem Cert und nie Probleme damit gehabt.
Auch keine Updates/Upgrades des Betriebssystems , PHP und Nextcloud in den letzten Jahren?!

Ja, das Cert von der selfsigned CA hat ich vorhin schon auf dem Nextcloud-Server abgelegt und mit
Nur im sicher zu gehen:
a) Das Zertifikat im BASE64 Format mit der Endung .crt abgespeichert bzw. hochgeladen?
b) Die Datei unter /usr/share/ca-certificates/ abgelegt?
c) update-ca-certificates

Wenn du dir unsicher bist, kannst du das Ganze auch so versuchen:


Gruß,
Dani
Mitglied: aqui
Lösung aqui 15.09.2020 aktualisiert um 17:12:56 Uhr
Goto Top
Der Mailserver nutzt eines von einer selbsterstellen openssl CA, also "quasi" selbstsigniert.
Sucht man nach der Fehlermeldung "warning: TLS library problem: error:14094418" besagten ca. 85% aller Treffer das der Fehler mit überwiegender Mehrheit eben genau das ist und mit einem offiziellen Zertifikat das Problem nicht mehr auftritt.
Eine von Hunderten zu dem Thema:
https://help.nextcloud.com/t/test-email-settings-error-unable-to-connect ...
https://help.nextcloud.com/t/nextcloud-email-settings-problem/3671
usw.
Mitglied: bloodstix
bloodstix 16.09.2020 um 09:12:24 Uhr
Goto Top
Moin,

so, apache neu gestartet, keine Besserung.

Das hier ausprobiert, mit dem $transport in getSmtpInstance hinzufügen:
https://help.nextcloud.com/t/test-email-settings-error-unable-to-connect ...
leider auch keine Besserung. Bin gerade ein wenig am verzweifeln....

Grüße
bloody
Mitglied: bloodstix
bloodstix 17.09.2020 um 10:53:20 Uhr
Goto Top
So,
ich konnte es lösen!

Habe in der config.php von Nextcloud folgendes hinzugefügt:
Da Nextcloud eh unseren internen Mailserver als Relay nutzt, entsteht dadurch auch keine Sicherheitslücke.

Grüße
bloody

p.s: Warum kann ich meine eigenen Beiträge nicht als "zur Lösung beigetragen" etc. markieren? Wegen Eigenlob stinkt oder was?^^
Mitglied: Lochkartenstanzer
Lochkartenstanzer 17.09.2020 aktualisiert um 11:11:33 Uhr
Goto Top
Zitat von @bloodstix:

p.s: Warum kann ich meine eigenen Beiträge nicht als "zur Lösung beigetragen" etc. markieren? Wegen Eigenlob stinkt oder was?^^

Nein, weil das den Highscore verfälschen würde. face-smile

lks
Mitglied: bloodstix
bloodstix 17.09.2020 um 11:48:33 Uhr
Goto Top
@Lochkartenstanzer Naja was heißt verfälschen, habe ja nunmal selbst zur Lösung beigetragen ;D ...
Mitglied: aqui
aqui 17.09.2020 um 12:03:45 Uhr
Goto Top
Feature Request per PM an @Frank schicken. face-wink
Mitglied: Lochkartenstanzer
Lochkartenstanzer 17.09.2020 um 12:04:20 Uhr
Goto Top
Zitat von @bloodstix:

@Lochkartenstanzer Naja was heißt verfälschen, habe ja nunmal selbst zur Lösung beigetragen ;D ...

Naja, wenn man sich selbst Punkte gibt, um im Highscore nach oben zu kommen ist das schon verfälscht face-smile (es finden sich sicher genug Trolle die das dann ausnützen würden).

lks