Zertifikatsprobleme smtprelaypool.ispgateway.de

    Hi alle,

    wer kann mir bitte helfen.
    Ich hab hier ein Problem mit Zertifikaten und nicht wirklich einen Plan, wie man das beheben kann.

    Ich kann Mails noch empfangen, aber nicht mehr versenden.
    Ich sende über SMTP, TSL, Port 465

    Das ganze geht nicht mehr, seit mein Provider auf neue Zertifikate umgestellt hat.
    Er schreibt, man müsse nur dann etwas tun "sofern Sie die Zertifikate explizit in der
    Vergangenheit von unserer Webseite heruntergeladen und lokal zur Verifizierung
    Ihres E-Mail-Accounts importiert haben".
    Hab ich eigentlich nicht - aber egal. Hat TheBat das gemacht?

    Beim Versenden bekomme ich jedenfalls seit dem:
     07.03.2015, 10:58:31: SEND - Sende Nachricht(en) - 1 Nachricht(en) in der Warteschlange
    07.03.2015, 10:58:31: SEND - Connecting to SMTP server smtprelaypool.ispgateway.de on port 465
    07.03.2015, 10:58:31: SEND - Einleitung TLS-Handshake
    >07.03.2015, 10:58:31: SEND - Zertifikat S/N: 11214B9B2A1D93025CE336EBD08BAE9301DB, Algorithmus: RSA (2048 Bits), ausgestellt von 04.03.2015 14:57:47 bis 04.03.2018 14:57:47, für 1 Host(s): smtprelaypool.ispgateway.de.
    >07.03.2015, 10:58:31: SEND - Besitzer: DE, Domain Control Validated, smtprelaypool.ispgateway.de.
    >07.03.2015, 10:58:31: SEND - Aussteller: BE, GlobalSign nv-sa, AlphaSSL CA - SHA256 - G2.
    >07.03.2015, 10:58:31: SEND - Root: BE, GlobalSign nv-sa, Root CA, GlobalSign Root CA
    !07.03.2015, 10:58:31: SEND - TLS-Handshakefehler. Ungültiges Serverzertifikat (Das Zertifikat ist abgelaufen)

    ...

    Was kann ich tun?

    Nicht geholfen bisher hat:
    - Download von 2 Zertifikaten vom Provider

    http://www.df.eu/fileadmin/downloads/sslmailpool.cer
    http://www.df.eu/fileadmin/downloads/smtprelaypool.cer

    - Installation der Zertifikaten unter Windows. Zu finden dann mit certmgr.msc bei "Vertrauenswürdige Stammzertifizierungsstellen"
    - Anlegen einer Adresse im TB-Adressbuch unter "Trusted Root CA" und bei dem Adressbucheintrag unter Zertifikate dann die beiden Zertifikate importieren (hab ich in der Bat FAQ irgendwo gelesen)

    Vielen Dank!
    FMaus

    The Bat! importiert nicht selbst Root CA-Zertifikate.
    Das musst du seltener machen, wenn sich was ändert, weil The Bat! die üblichen großen drin hat.

    Eigentlich sind alle des Mailservers in smtprelaypool.cer drin.

    Wie hast du denn die beiden vom Anbieter angebebenen in The Bats Adressbuch Trusted Root CA importiert?
    Hast du The Bat! neu gestartet?


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    "Wie hast du denn die beiden vom Anbieter angebebenen in The Bats Adressbuch Trusted Root CA importiert?"

    ->

    - Adressbuch "Trusted Root CA" geöffnet.
    - Einen Neuen Adresseintrag mit dem Namen meines Providers angelegt (Domain Factory)
    - In dem Eintrag auf dem Reiter "Zertifikate" gegangen
    - Dort "Zertifikat-Import" gewählt und die Dateien ausgewählt.

    "Hast du The Bat! neu gestartet? "

    ->

    Ja, sogar Rechner-Neustart war dabei...

    Was ich mich so frage:
    1. Interessanterweise bleibt die Fehlermeldung "SEND - Zertifikat S/N: 11214B9B2A1D93025CE336EBD08BAE9301DB, ... (Das Zertifikat ist abgelaufen)" erhalten, wenn ich den Eintrag im Root-CA-Adressbuch lösche
    2. Wieso ist das Zertifikat abgelaufen? Da steht doch, dass es bis 2018 geht??!
    3. Wenn ich das Zertifikat unter Windows öffne und die Eigenschaften ansehe, dann hat es dieselbe Seriennummer - TB scheint also das richtige zu verwenden. Warum geht es aber nicht?
    4. Würde es etwas helfen, das Ding unter windows zu "installieren" ?

    Zwar steht in der Fehlermeldung "Serverzertifikat", aber ist vielleicht das Aussteller-Zertifikat abgelaufen? Für "AlphaSSL CA - SHA256 - G2" ist es "GlobalSign Root CA". TB! hat's ja standardmäßig mit dabei in "Trusted Root CA". Da es sich aber um v5 handelt, könnte es veraltet sein. In v6 wurden nämlich Wurzelzertifikate mehrfach aktualisiert.

    Schaue also nach, ob du unter "Trusted Root CA" irgendwo "GlobalSign Root CA" hast und ob dort im Reiter "Zertifikate" steht, dass es abgelaufen ist. Wenn ja, dann solltest du es durch dieses neue aus deinem Paket ersetzen.

    Wir hatten bereits ein ähnliches Problem. Bei einem der Benutzer waren zwei gleiche Zertifikate installiert, nur das das eine bereits abgelaufen war. TB! hat aus unerklärlichen Gründen immer das alte genommen und natürlich jedes Mal gemeldet, dass es abgelaufen war. Nachdem der Benutzer dieses alte gelöscht hat, klappte die Verbindung wieder.

    Zitat von sanyok

    TB! hat aus unerklärlichen Gründen immer das alte genommen und natürlich jedes Mal gemeldet, dass es abgelaufen war. Nachdem der Benutzer dieses alte gelöscht hat, klappte die Verbindung wieder.

    Oh, an den Mist hab ich gar nicht gedacht, dass The Bat! sowas macht. Ist der Bug bekannt?
    Allerdings ist das ein Mangel, denn wer bitte kann im Normalfall den in den Zertifikaten rumwühlen?
    The Bat! muss doch das neueste Root CA in dem Pool nehmen.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    In der 5.8.8 ist das mit installierte Globalsign Root CA bis 2028 gültig.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Zitat von GwenDragon

    Ist der Bug bekannt?

    Hier im Forum ist es nur einmal vorgekommen. Unter welchen konkreten Umständen, ist aber nicht geklärt. Kann auch sein, dass es nur ein Einzelfall war.


    Zitat von GwenDragon

    The Bat! muss doch das neueste Root CA in dem Pool nehmen.

    Du hast bereits richtig geschrieben, dass TB! automatisch keine Root-Zertifikate importiert, verwalten gleichzeitig mehrere kann es aber. Nach welchen Kriterien dann welches genommen wird, ist unbekannt.

    Außerdem gab es ja noch den bekannten Bug, dass Trusted Root CA plötzlich mehrere identische Zertifikate enthielt, wohl hervorgerufen durch die regelmäßigen Wurzelzertifikatsaktualisierungen in TB!. Das wurde IMO erst in v6.7.9 behoben. Ob der Bug erst in v6 erschien oder bereits in den früheren Version vorhanden war, ist ebenfalls unbekannt.

    Ich würde jedenfalls Trusted Root CA regelmäßig überprüfen, vor allem, wenn im Changelog der neuen Version so etwas wie "Updated Root CA certificates" steht.

    Zitat von GwenDragon

    Das von smtprelaypool.ispgateway.de ist abgelaufen wie es scheint!
    https://ssl-tools.net/certificates/1…y-de#461dab8d2b

    1 .Das heißt was für mich?
    Das geht nicht, bis die ein besseres/neueres Zertifikat haben?


    2. Das GlobalSign Root CA Zertifikat in meinem Adressbuch sagt, dass es am 28.1.2014 ausgelaufen ist. Allerdings geht das Mailversenden noch bis vor 3 Tagen...


    3. Kann man das irgendwie "Reseten" und sich automatisch einstellen lassen? Mein iPhone hat die ganze Zertifikatsumstellung bei dem Provider einfach so mitgemacht ohne, dass ich mit den Zertifikaten irgendwas machen musste :(

    Zitat von sanyok

    Zwar steht in der Fehlermeldung "Serverzertifikat", aber ist vielleicht das Aussteller-Zertifikat abgelaufen? Für "AlphaSSL CA - SHA256 - G2" ist es "GlobalSign Root CA". TB! hat's ja standardmäßig mit dabei in "Trusted Root CA". Da es sich aber um v5 handelt, könnte es veraltet sein. In v6 wurden nämlich Wurzelzertifikate mehrfach aktualisiert.

    Schaue also nach, ob du unter "Trusted Root CA" irgendwo "GlobalSign Root CA" hast und ob dort im Reiter "Zertifikate" steht, dass es abgelaufen ist. Wenn ja, dann solltest du es durch dieses neue aus deinem Paket ersetzen.


    Das war der entscheidende Tipp!!

    Vielen Dank - jetzt gehen die Mails wieder raus!!


    Danke, FMaus