16
Nextcloud TLS-Problem bei Termineinladungen
Hall zusammen,
wir dachten bisher unser Nextcloud-Hub funktioniert einwandfrei, bis heute mal jemand getestet hat ob Termineinladungen funktionieren.
Versenden mit der Mail-App funktioniert ganz normal.
Wenn man eine Termineinladung mit einem Teilnehmer erstellt seh ich aufm Postfix nur folgendes:
Hab auch schon gegoogelt und einiges ausprobiert. U.a. in der nextcloud-config. Auch debugging in Nextcloud aktiviert, aber wirklich etwas rumgekommen ist dabei nicht. Aber eigentlich ist das ja ein Postfix-Problem denke ich und keins konkret was man mit nextcloud-Optionen erschlagen kann.
Hat jemand von euch vielleicht eine Idee?
Extern hat die Nextcloud-Instanz ein Letsencrypt-Zertifikat. Mailserver und Nextcloud sind im selben LAN.
Grüße
bloody
wir dachten bisher unser Nextcloud-Hub funktioniert einwandfrei, bis heute mal jemand getestet hat ob Termineinladungen funktionieren.
Versenden mit der Mail-App funktioniert ganz normal.
Wenn man eine Termineinladung mit einem Teilnehmer erstellt seh ich aufm Postfix nur folgendes:
Sep 15 15:15:03 email postfix/smtpd[5127]: lost connection after STARTTLS from nextcloud.xx.xxx.de[10.1.3.166]
Sep 15 15:15:03 email postfix/smtpd[5127]: disconnect from nextcloud.xx.xxx.de[10.1.3.166] ehlo=1 starttls=0/1 commands=1/2
Sep 15 15:15:03 email postfix/smtpd[5127]: connect from nextcloud.xx.xxx.de[10.1.3.166]
Sep 15 15:15:03 email postfix/smtpd[5127]: SSL_accept error from nextcloud.xx.xxx.de[10.1.3.166]: -1
Sep 15 15:15:03 email postfix/smtpd[5127]: warning: TLS library problem: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca:../ssl/record/rec_layer_s3.c:1407:SSL alert number 48:'app.mail.verify-tls-peer' => false, Hat jemand von euch vielleicht eine Idee?
Extern hat die Nextcloud-Instanz ein Letsencrypt-Zertifikat. Mailserver und Nextcloud sind im selben LAN.
Grüße
bloody
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 604628
Url: https://administrator.de/contentid/604628
Printed on: April 20, 2024 at 12:04 o'clock
16 Comments
Latest comment
Unknknown ca:../ssl/record/rec_layer_s3.c:1407:SSL
Letzte Zeile sagt doch schon alles. Setz da Mal an...wenn du damit nicht weiter kommst, klopf gerne an.
Grüße
Letzte Zeile sagt doch schon alles. Setz da Mal an...wenn du damit nicht weiter kommst, klopf gerne an.
Grüße
@certifiedit.net ja lesen kann ich schon ;) hab ja gesagt hab auch schon gegoogled wie ein Weltmeister.
@aqui ich seh ja leider nicht mit was die Nextcloud bei Termineinladungen genau versendet ... sonst wäre ich sicher schon ein Stück weiter.
Und das debug-Log von Nextcloud gibt auch nichts her. Der Befehl "v-update-host-certificate" existiert auf meiner Nextcloud-Instanz nicht.
Ich könnte natürlich mal smtp-debugging im Postfix für den peer einschalten ... hmm mal versuchen.
Grüße
bloody
@aqui ich seh ja leider nicht mit was die Nextcloud bei Termineinladungen genau versendet ... sonst wäre ich sicher schon ein Stück weiter.
Und das debug-Log von Nextcloud gibt auch nichts her. Der Befehl "v-update-host-certificate" existiert auf meiner Nextcloud-Instanz nicht.
Ich könnte natürlich mal smtp-debugging im Postfix für den peer einschalten ... hmm mal versuchen.
Grüße
bloody
Ok, postfix peer_debug_level = 4 mit dem Nextcloud in der Liste ergibt folgendes, woraus ich leider aktuell auch nicht schlau werde:
Sep 15 15:38:46 email postfix/smtpd[7831]: connect from nextcloud.xx.xxx.de[10.1.3.166]
Sep 15 15:38:46 email postfix/smtpd[7831]: smtp_stream_setup: maxtime=300 enable_deadline=0
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostname: smtpd_client_event_limit_exceptions: nextcloud.xx.xxx.de ~? 192.168.200.0/24
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostaddr: smtpd_client_event_limit_exceptions: 10.1.3.166 ~? 192.168.200.0/24
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostname: smtpd_client_event_limit_exceptions: nextcloud.xx.xxx.de ~? 127.0.0.0/8
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostaddr: smtpd_client_event_limit_exceptions: 10.1.3.166 ~? 127.0.0.0/8
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostname: smtpd_client_event_limit_exceptions: nextcloud.xx.xxx.de ~? 10.1.0.0/16
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostaddr: smtpd_client_event_limit_exceptions: 10.1.3.166 ~? 10.1.0.0/16
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 220 bee.de mail.xxx.de ESMTP Postfix (Debian/GNU)
Sep 15 15:38:46 email postfix/smtpd[7831]: watchdog_pat: 0x55a00a1b6670
Sep 15 15:38:46 email postfix/smtpd[7831]: vstream_fflush_some: fd 16 flush 51
Sep 15 15:38:46 email postfix/smtpd[7831]: vstream_buf_get_ready: fd 16 got 17
Sep 15 15:38:46 email postfix/smtpd[7831]: < nextcloud.xx.xxx.de[10.1.3.166]: EHLO hub.xxx.de
Sep 15 15:38:46 email postfix/smtpd[7831]: match_list_match: nextcloud.xx.xxx.de: no match
Sep 15 15:38:46 email postfix/smtpd[7831]: match_list_match: 10.1.3.166: no match
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250-mail.xxx.de
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250-PIPELINING
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250-SIZE
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250-VRFY
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250-ETRN
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250-STARTTLS
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250-ENHANCEDSTATUSCODES
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250-8BITMIME
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250-DSN
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 250 SMTPUTF8
Sep 15 15:38:46 email postfix/smtpd[7831]: watchdog_pat: 0x55a00a1b6670
Sep 15 15:38:46 email postfix/smtpd[7831]: vstream_fflush_some: fd 16 flush 139
Sep 15 15:38:46 email postfix/smtpd[7831]: vstream_buf_get_ready: fd 16 got 10
Sep 15 15:38:46 email postfix/smtpd[7831]: < nextcloud.xx.xxx.de[10.1.3.166]: STARTTLS
Sep 15 15:38:46 email postfix/smtpd[7831]: > nextcloud.xx.xxx.de[10.1.3.166]: 220 2.0.0 Ready to start TLS
Sep 15 15:38:46 email postfix/smtpd[7831]: vstream_fflush_some: fd 16 flush 30
Sep 15 15:38:46 email postfix/smtpd[7831]: event_request_timer: reset 0x7f6019a0fb30 0x55a00a19b760 5
Sep 15 15:38:46 email postfix/smtpd[7831]: send attr request = seed
Sep 15 15:38:46 email postfix/smtpd[7831]: send attr size = 32
Sep 15 15:38:46 email postfix/smtpd[7831]: vstream_fflush_some: fd 10 flush 22
Sep 15 15:38:46 email postfix/smtpd[7831]: vstream_buf_get_ready: fd 10 got 60
Sep 15 15:38:46 email postfix/smtpd[7831]: private/tlsmgr: wanted attribute: status
Sep 15 15:38:46 email postfix/smtpd[7831]: input attribute name: status
Sep 15 15:38:46 email postfix/smtpd[7831]: input attribute value: 0
Sep 15 15:38:46 email postfix/smtpd[7831]: private/tlsmgr: wanted attribute: seed
Sep 15 15:38:46 email postfix/smtpd[7831]: input attribute name: seed
Sep 15 15:38:46 email postfix/smtpd[7831]: input attribute value: TA3X+OScfqaRoOW+75IegRTXCEx9LARyZrNc93nrCnA=
Sep 15 15:38:46 email postfix/smtpd[7831]: private/tlsmgr: wanted attribute: (list terminator)
Sep 15 15:38:46 email postfix/smtpd[7831]: input attribute name: (end)
Sep 15 15:38:46 email postfix/smtpd[7831]: SSL_accept error from nextcloud.xx.xxx.de[10.1.3.166]: -1
Sep 15 15:38:46 email postfix/smtpd[7831]: warning: TLS library problem: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca:../ssl/record/rec_layer_s3.c:1407:SSL alert number 48:
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostname: smtpd_client_event_limit_exceptions: nextcloud.xx.xxx.de ~? 192.168.200.0/24
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostaddr: smtpd_client_event_limit_exceptions: 10.1.3.166 ~? 192.168.200.0/24
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostname: smtpd_client_event_limit_exceptions: nextcloud.xx.xxx.de ~? 127.0.0.0/8
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostaddr: smtpd_client_event_limit_exceptions: 10.1.3.166 ~? 127.0.0.0/8
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostname: smtpd_client_event_limit_exceptions: nextcloud.xx.xxx.de ~? 10.1.0.0/16
Sep 15 15:38:46 email postfix/smtpd[7831]: match_hostaddr: smtpd_client_event_limit_exceptions: 10.1.3.166 ~? 10.1.0.0/16
Sep 15 15:38:46 email postfix/smtpd[7831]: lost connection after STARTTLS from nextcloud.xx.xxx.de[10.1.3.166]
Moin bloody,
Gruß,
Dani
Wenn man eine Termineinladung mit einem Teilnehmer erstellt seh ich aufm Postfix nur folgendes:
Was steht in data/nextcloud.log?Sep 15 15:15:03 email postfix/smtpd[5127]: warning: TLS library problem: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca:../ssl/record/rec_layer_s3.c:1407:SSL alert number 48:
Die Fehlermeldung deutet daraufhin, dass das SSL-Zertifikat bzw. dessen Stammzertifizierungsstelle (CA) nicht verifiziert werden konnte.'app.mail.verify-tls-peer' => false,
Ich bin grad am überlegen, ob du false in Hochkommas setzen musst... Extern hat die Nextcloud-Instanz ein Letsencrypt-Zertifikat. Mailserver und Nextcloud sind im selben LAN.
Woher stammt das SSL-Zertifikat, dass ihr auf dem Postfix-Server nutzt?Gruß,
Dani
Hallo Dani,
worauf der Fehler hindeutet ist mir ja klar. Ich bin mir nur nicht sicher ob es am Client oder Server liegt.
Der Mailserver nutzt eines von einer selbsterstellen openssl CA, also "quasi" selbstsigniert. Nutzen das aber schon seit Jahren so und haben nie Probleme mit irgend einem Client/Server gehabt...würde da ja auch ein LE-Zertifikat nutzen, aber für eine interne Domain schlecht umsetzbar.
Grüße
bloody
worauf der Fehler hindeutet ist mir ja klar. Ich bin mir nur nicht sicher ob es am Client oder Server liegt.
Der Mailserver nutzt eines von einer selbsterstellen openssl CA, also "quasi" selbstsigniert. Nutzen das aber schon seit Jahren so und haben nie Probleme mit irgend einem Client/Server gehabt...würde da ja auch ein LE-Zertifikat nutzen, aber für eine interne Domain schlecht umsetzbar.
Grüße
bloody
Moin,
Abhilfe schaffst du meiner Ansicht nach, wenn du das Stammzertifikat deines Self-Signed in den Zertifikatsspeicher des Nextcloud Servers aufnimmst.
Gruß,
Dani
Ich bin mir nur nicht sicher ob es am Client oder Server liegt.
in diesem Fall schlägt die Prüfung seites Nextcloud/PHP fehl. Daher dein Ansatz mit dem Parameter 'app.mail.verify-tls-peer' und meiner Idee den Wert einmal in Hochkommas zu setzen. Ich weiß allerdings nicht, ob der Parameter app.mail.verify-tls-peer in neuen Version von Nextcloud noch funktioniert.Abhilfe schaffst du meiner Ansicht nach, wenn du das Stammzertifikat deines Self-Signed in den Zertifikatsspeicher des Nextcloud Servers aufnimmst.
Nutzen das aber schon seit Jahren so und haben nie Probleme mit irgend einem Client/Server gehabt...
Na, du wirst ja sicherlich auf einem oder sogar beiden Servern etwas verändert haben?!würde da ja auch ein LE-Zertifikat nutzen, aber für eine interne Domain schlecht umsetzbar.
Es gibt da Tricks... aber das sprengt hier den Rahmen.Gruß,
Dani
Ja, das Cert von der selfsigned CA hat ich vorhin schon auf dem Nextcloud-Server abgelegt und mit bekannt gemacht. Hat nur leider nichts gebracht. Selber Fehler. Allerdings bin ich mir nich sicher ob ich nicht den Apache dafür noch neu starten muss...
Teste ich mal.
Nein habe nichts verändert. Meinte den Mailserver nutzen wir seit Jahren mit dem Cert und nie Probleme damit gehabt.
update-ca-certificatesTeste ich mal.
Nein habe nichts verändert. Meinte den Mailserver nutzen wir seit Jahren mit dem Cert und nie Probleme damit gehabt.
Nein habe nichts verändert. Meinte den Mailserver nutzen wir seit Jahren mit dem Cert und nie Probleme damit gehabt.
Auch keine Updates/Upgrades des Betriebssystems , PHP und Nextcloud in den letzten Jahren?! Ja, das Cert von der selfsigned CA hat ich vorhin schon auf dem Nextcloud-Server abgelegt und mit
Nur im sicher zu gehen:a) Das Zertifikat im BASE64 Format mit der Endung .crt abgespeichert bzw. hochgeladen?
b) Die Datei unter /usr/share/ca-certificates/ abgelegt?
c) update-ca-certificates
Wenn du dir unsicher bist, kannst du das Ganze auch so versuchen:
echo | openssl s_client -showcerts -servername mailserver.domain.de -connect smtp.domain.de 2>/dev/null | awk '/-----BEGIN CERTIFICATE-----/, /-----END CERTIFICATE-----/' >> /usr/local/share/ca-certificates/ca-certificates.crt Gruß,
Dani
Der Mailserver nutzt eines von einer selbsterstellen openssl CA, also "quasi" selbstsigniert.
Sucht man nach der Fehlermeldung "warning: TLS library problem: error:14094418" besagten ca. 85% aller Treffer das der Fehler mit überwiegender Mehrheit eben genau das ist und mit einem offiziellen Zertifikat das Problem nicht mehr auftritt.Eine von Hunderten zu dem Thema:
https://help.nextcloud.com/t/test-email-settings-error-unable-to-connect ...
https://help.nextcloud.com/t/nextcloud-email-settings-problem/3671
usw.
Moin,
so, apache neu gestartet, keine Besserung.
Das hier ausprobiert, mit dem $transport in getSmtpInstance hinzufügen:
https://help.nextcloud.com/t/test-email-settings-error-unable-to-connect ...
leider auch keine Besserung. Bin gerade ein wenig am verzweifeln....
Grüße
bloody
so, apache neu gestartet, keine Besserung.
Das hier ausprobiert, mit dem $transport in getSmtpInstance hinzufügen:
https://help.nextcloud.com/t/test-email-settings-error-unable-to-connect ...
leider auch keine Besserung. Bin gerade ein wenig am verzweifeln....
Grüße
bloody
So,
ich konnte es lösen!
Habe in der config.php von Nextcloud folgendes hinzugefügt:
Da Nextcloud eh unseren internen Mailserver als Relay nutzt, entsteht dadurch auch keine Sicherheitslücke.
Grüße
bloody
p.s: Warum kann ich meine eigenen Beiträge nicht als "zur Lösung beigetragen" etc. markieren? Wegen Eigenlob stinkt oder was?^^
ich konnte es lösen!
Habe in der config.php von Nextcloud folgendes hinzugefügt:
'mail_smtpstreamoptions' => array(
'ssl' => array(
'allow_self_signed' => true,
'verify_peer' => false,
'verify_peer_name' => false
)
),Grüße
bloody
p.s: Warum kann ich meine eigenen Beiträge nicht als "zur Lösung beigetragen" etc. markieren? Wegen Eigenlob stinkt oder was?^^
Zitat von @bloodstix:
p.s: Warum kann ich meine eigenen Beiträge nicht als "zur Lösung beigetragen" etc. markieren? Wegen Eigenlob stinkt oder was?^^
p.s: Warum kann ich meine eigenen Beiträge nicht als "zur Lösung beigetragen" etc. markieren? Wegen Eigenlob stinkt oder was?^^
Nein, weil das den Highscore verfälschen würde.
lks
@Lochkartenstanzer Naja was heißt verfälschen, habe ja nunmal selbst zur Lösung beigetragen ;D ...
Feature Request per PM an @Frank schicken. 
Zitat von @bloodstix:
@Lochkartenstanzer Naja was heißt verfälschen, habe ja nunmal selbst zur Lösung beigetragen ;D ...
@Lochkartenstanzer Naja was heißt verfälschen, habe ja nunmal selbst zur Lösung beigetragen ;D ...
Naja, wenn man sich selbst Punkte gibt, um im Highscore nach oben zu kommen ist das schon verfälscht
(es finden sich sicher genug Trolle die das dann ausnützen würden).lks
