morgana81 - gothic transgender AWAY WITH YOU - Covid‑19 pandemic 2020‑2022 🎈

Sternzeit irgendwas, Logbucheintragung des Captains:

[01.01.70 / 00:00] Sternzeit irgendwas, Logbucheintragung des Captains:

[02.10.20 / 15:40] Ich habe vielleicht das Mysterium gelöst, warum ich seit über einem Jahr keine Mails mehr vom root bekomme und auch sonst keine Server-internen Mails. Die letzten zwei Wochen habe ich etwas an meiner Mail-Software gearbeitet und u.a. eine "Alias-Funktion" eingebaut - die Benutzer auf meinem Mailserver können jetzt ihre Alias-Adresse auch zum Senden verwenden (sie wird nur als Bestandteil des persönlichen Namens neben der eigentlichen Mailadresse aufgeführt). Sechs Tage programmieren, drei Tage ausgiebiges Testen - ich bin als ausgebildete Systemtesterin vom Fach.

SMTP connect() failed. https://github.com/PHPMailer/PHPMailer/wiki/Troubleshooting

Die Testmail wurde nicht versendet ... kann es sein, daß ich seit längerer Zeit auf meinem Server überhaupt gar keine Mails mehr versenden kann? Die über die Fehlerausgabe angegebene Internetadresse des PHPMailer-Projektes und die zusätzlich eingeschaltete Debug-Ausgabe im PHP-Skript hilft mir auch nicht unbedingt weiter:

$mailer->SMTPDebug = SMTP::DEBUG_SERVER;

SMTP Error: Could not connect to SMTP host.

Zwei Computermonitore, der linke mit der Webmail-Oberfläche im Browser, der rechte mit einem Fenster des Texteditors (für die PHP-Skripte) und ein offenes Terminalfenster für die SSH-Sitzung als root auf meinem Mailserver. Ein Blick in die laufenden Logfiles des Exim als verwendeter MTA bringt mehr Erkenntnis:

# less /var/log/exim4/mainlog
[...]
2020-10-01 20:16:15 TLS error on connection from mail.oNsOcSmPaAiMl.net (www.oNsOcSmPaAiMl.net) [212.227.193.212] (gnutls_handshake): A TLS fatal alert has been received.

Aha ... ein Fehler im GnuTLS Handshake ... was immer das auch zu bedeuten hat. Ich bin jetzt wenigstens auf der richtigen Spur. Den Exim hatte ich letztes Jahr so konfiguriert, daß er für die TLS-Verschlüsselung einfach die Zertifikate vom Apache übernimmt ... aus dem profanen Grund, die für den Webserver sind die einzigen "nicht selbst signierten" Schlüssel, die ich besitze.

# nano /etc/exim4/conf.d/main/00_exim4-config_localmacros
[...]
MAIN_TLS_ENABLE = yes
MAIN_TLS_CERTIFICATE = /etc/apache2/ssl/oNsOcSmPaAiMl.net_ssl_certificate.cer
MAIN_TLS_PRIVATEKEY = /etc/apache2/ssl/oNsOcSmPaAiMl.net_private_key.key

Ich könnte jetzt einfach die TLS-Verschlüsselung deaktivieren - wozu brauche ich die, wenn der SMTP-Dienst und der Webserver mit dem Webmail auf derselben Maschine laufen? Aber ich weiß, konfiguriere ich mein Webmail so, daß zum Senden der Mails ein fremder SMTP-Server verwendet wird, läuft alles problemlos, auch die TLS-Verschlüsselung. Nur bei mir nicht, auf meinem Server. So schnell gebe ich nicht auf...

Recherche im Internet, das GnuTLS-Projekt. Ich installiere auf meinem Mailserver die passenden Pakete, die auch ein Testprogramm enthalten und starte anschließend einen neuen Verbindungsversuch zum SMTP-Dienst (hier noch auf dem internen Port 25, Port 587 für STARTTLS wird in meiner Konfiguration für externe Mailprogramme, wie dem Thunderbird verwendet).

# apt-get install gnutls-bin
# gnutls-cli -s -p 25 smtp.oNsOcSmPaAiMl.net
Processed 126 CA certificate(s).
Resolving 'smtp.oNsOcSmPaAiMl.net:25'...
Connecting to '212.227.193.212:25'...

- Simple Client Mode:

220 mail.oNsOcSmPaAiMl.net ESMTP Exim 4.92 Thu, 01 Oct 2020 18:25:29 +0200
ehlo boo
250-mail.oNsOcSmPaAiMl.net Hello mail.oNsOcSmPaAiMl.net [212.227.193.212]
250-SIZE 52428800
250-8BITMIME
250-PIPELINING
250-AUTH LOGIN PLAIN
250-CHUNKING
250-STARTTLS
250-PRDR
250 HELP
starttls
220 TLS go ahead
*** Starting TLS handshake
- Certificate type: X.509
- Got a certificate list of 1 certificates.
- Certificate[0] info:
- subject `CN=*.oNsOcSmPaAiMl.net', issuer `CN=Encryption Everywhere DV TLS CA - G1,OU=www.digicert.com,O=DigiCert Inc,C=US', serial 0x0d3a7ce1dde5597fa9b415bf288cc097, RSA key 2048 bits, signed using RSA-SHA256, activated `2020-03-07 00:00:00 UTC', expires `2021-03-07 12:00:00 UTC', [...]

- Status: The certificate is NOT trusted. The certificate issuer is unknown.
*** PKI verification of server certificate failed...
*** Fatal error: Error in the certificate.
*** Handshake has failed

Und wieder ein kleines Stück weiter ... zumindest weiß ich jetzt, woran das Ganze hängt: der Herausgeber des Zertifikats ist unbekannt. Es fehlt möglicherweise nur das Wurzelzertifikat der Zertifizierungsstelle - auf Englisch: "CA - Certificate Authority." [Anm. der Verfasserin: die aufmerksame Leserin erkennt an dem Zeitstempel, daß ich diese Vermutung schon fast zwei Stunden vorher hatte.]

Ich suche auf der Internetseite des Anbieters für die Zertifikate (https://www.digicert.com/kb/digicert-root-certificates.htm) nach dem passenden Wurzelzertifikat mit dem Titel "Encryption Everywhere DV TLS CA - G1" - warum dieses Zertifikat nicht in dem Debian-Paket ca-certificates enthalten ist, weiß ich nicht. Vielleicht ist es zu alt, vielleicht ist die Schlüssellänge nicht ausreichend, vielleicht wurde es kompromittiert oder steht irgendwo auf einer ominösen certificate revocation list. Egal, jetzt ist es auf meinem Server (ich quelle geradezu über vor "Selbstexpertise", ohne wirklich Ahnung zu haben ... ich hab' studiert).

# mv /home/andrea/EncryptionEverywhereDVTLSCA-G1.pem /usr/share/ca-certificates/
# mv EncryptionEverywhereDVTLSCA-G1.pem EncryptionEverywhereDVTLSCA-G1.crt
# chown root:root EncryptionEverywhereDVTLSCA-G1.crt
# dpkg-reconfigure ca-certificates

Letzterer Befehl macht irgendwie dasselbe wie der Befehl: "update-ca-certificates" - nur muß das Zertifikat mit dem öffentlichen Schlüssel im lesbaren PEM-Format vorliegen und die Dateiendung ".crt" besitzen, um in die Gemeinde aufgenommen zu werden. Ein Blick in das Verzeichnis auf dem Mailserver und die Überprüfung der Konfigurationsdatei bestätigt die erfolgreiche Installation:

# ls -l /etc/ssl/certs/
[...]
lrwxrwxrwx 1 root root 34 Oct 1 22:11 44a62f50.0 -> EncryptionEverywhereDVTLSCA-G1.pem
lrwxrwxrwx 1 root root 61 Oct 1 22:11 EncryptionEverywhereDVTLSCA-G1.pem -> /usr/share/ca-certificates/EncryptionEverywhereDVTLSCA-G1.crt

# nano /etc/ca-certificates.conf
[...]
EncryptionEverywhereDVTLSCA-G1.crt

(Zertifikat in der Datei ohne '!' am Zeilenanfang.)

Wird es funktionieren? Ich bin aufgeregt und starte den zweiten Versuch mit dem Testprogramm für die verschlüsselte Verbindung zum SMTP-Dienst auf meinem Mailserver:

# gnutls-cli -s -p 25 smtp.oNsOcSmPaAiMl.net
Processed 127 CA certificate(s).
Resolving 'smtp.oNsOcSmPaAiMl.net:25'...
Connecting to '212.227.193.212:25'...

- Simple Client Mode:

220 mail.oNsOcSmPaAiMl.net ESMTP Exim 4.92 Thu, 01 Oct 2020 22:18:55 +0200
ehlo boo
250-mail.oNsOcSmPaAiMl.net Hello mail.oNsOcSmPaAiMl.net [212.227.193.212]
250-SIZE 52428800
250-8BITMIME
250-PIPELINING
250-AUTH LOGIN PLAIN
250-CHUNKING
250-STARTTLS
250-PRDR
250 HELP
starttls
220 TLS go ahead
*** Starting TLS handshake
- Certificate type: X.509
- Got a certificate list of 1 certificates.
- Certificate[0] info:
- subject `CN=*.oNsOcSmPaAiMl.net', issuer `CN=Encryption Everywhere DV TLS CA - G1,OU=www.digicert.com,O=DigiCert Inc,C=US', serial 0x0d3a7ce1dde5597fa9b415bf288cc097, RSA key 2048 bits, signed using RSA-SHA256, activated `2020-03-07 00:00:00 UTC', expires `2021-03-07 12:00:00 UTC', [...]

- Status: The certificate is trusted.
- Description: (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM)
- Options:
quit
221 mail.oNsOcSmPaAiMl.net closing connection
- Peer has closed the GnuTLS connection

Es hat funktioniert ... darauf erst mal zu kommen, daß es nur an dem fehlenden Wurzelzertifikat liegt! Gespannt verfolge ich im Terminalfenster die Ausgabe der Logfiles des Exim und sende erneut über mein Webmail eine Nachricht an mein anderes, externes Mail-Konto und "cc" eine Kopie an mich auf meinem Mailserver ... mit der Alias-Adresse als persönlicher Name.

# tail -f /var/log/exim4/mainlog
2020-10-01 22:37:34 1kO5KW-000U05-Ks <= andrea@oNsOcSmPaAiMl.net H=mail.oNsOcSmPaAiMl.net (www.oNsOcSmPaAiMl.net) [212.227.193.212] [...] id=lcyTg2P3RiTxy0u5wNB60kheQe5hOsXZLWXWCQKzx0@www.oNsOcSmPaAiMl.net
2020-10-01 22:37:34 1kO5KW-000U05-Ks => morgana@oscilloworld.de R=dnslookup T=remote_smtp [...] C="250 Requested mail action okay, completed: id=1MMX5T-1k5Att2ldf-00JlLB"
2020-10-01 22:37:34 1kO5KW-000U05-Ks Completed

"Juhu! Die Webmistress hat mir eine Mail geschickt!" In der Absenderadresse der eingegangen Mail taucht tatsächlich der Alias auf (was im übrigen vollkommen irrelevant für den SMTP ist):

"webmistress@oNsOcSmPaAiMl.net" <andrea@oNsOcSmPaAiMl.net>

Jetzt muß ich nur noch beobachten, ob die nächsten Tage und Wochen wieder neue Statusmeldungen intern über den Mailserver an mich gesendet werden (mit ganz viel "hochinteressanten" Lesestoff, so etwas wie exim paniclog und alles, was an root gesendet wurde).

Eine spannende Detektivgeschichte...

(Update zwei Wochen später, um 3 Uhr nachts: Ich glaube, jetzt habe ich es wirklich herausgefunden. Ich hatte letztes Jahr unbedarft die system_aliases aus der exim4-config herausgeschmissen ... natürlich konnte dann die Datei /etc/aliases nicht mehr gelesen werden und die systeminternen Nachrichten an root wurden seitdem nie wieder an meine Mailadresse weitergeleitet.)

1 2 3 4 5 6 7 8 9 [10-19] [20-29] [30-39] [40-41]

Tags:

Amsterdam (5), Backen (9), Florenz (8), GaOP (57), Hormone (52), IPL (39), Ibiza (8), Kalifornien (17), Kochen (20), Namensänderung (17), New York (11), Nordindien (17), Paris (11), Psychiatrie (16), Psychotherapie (29), Reise (162), Rom (7), Schuhe (12), Sizilien (23), Sri Lanka (17), Tel Aviv (12), Tokio (14), Transsexualität (196), Wien (11)

Archiv:

2022 (50)
2021 (40)
2020 (80)
2019 (96)
2018 (95)
2017 (81)
2016 (80)
2015 (57)
2014 (53)
2013 (33)
2012 (41)
2011 (56)
2010 (39)
2009 (6)

Kommentar:

[13.11.22 / 09:33] Daniele1992: Hallo Morgana

aktuell keine schöne Situation. Ich schreibe Dir noch eine Mail dazu.

LG Daniele

Morgana LaGoth: Einige Kommentare müssen auch nicht allzu öffentlich sein …

[13.05.22 / 09:15] Daniele1992: Hallo Morgana,

Tolle Reisebericht von Deiner neusten Reise nach Paris. Macht grosse Lust auch wieder dort hinzufahren um sich von der Stadt inspirieren zu lassen.

Tolle Neuigkeiten.NeuerJob. Klasse! Freue mich für Dich.

Liebe Grüße
Daniele

Morgana LaGoth: Danke. Endlich wieder verreisen … lange darauf gewartet. Lebendig bleiben, solange es noch geht.

[24.12.21 / 20:55] Daniele1992: Hallo Morgana,

Ich denke an Dich und wünsche Dir frohe Weihnachten und ein schönes neues Jahr 2022.

Liebe Grüße
Daniele

Morgana LaGoth: Vielen Dank, ich wünsche dir ebenfalls ein schönes, neues Jahr.

[25.09.21 / 14:59] Daniele1992: Hallo,

eine Chance etwas Neues zu machen. Neue Perspektiven. Urlaubsträume, die bald real werden können. Nicht so schlecht. Freue mich für Dich. LG Daniele.

Morgana LaGoth: Danke dir.

[26.07.21 / 12:07] Webmistress (as herself): TODO:

Was ist ein Intermediate-Zertifikat?
Wie funktioniert StartTLS?
Und muß ich das wirklich alles öffentlich machen?

[11.11.20 / 09:12] Daniele1992: Hallo Morgana

Ich habe Dir eine Mail geschickt.

Lg
Daniele

Morgana LaGoth: Hey ... vom Lenkrad aus mit der Hand winken, von einem MX-5 zum anderen. *freu*

[30.07.20 / 22:03] Daniele1992: Guten Abend

das habe ich sehr gerne gemacht. Zum Einen interessiert mich das Thema und zum Anderen hast Du wirklich sehr lebendig und spannend geschrieben. Da wollte ich Alles lesen und wollte Dir schreiben, das mir Dein Blog besonders gut gefallen hat (Die eigentliche Arbeit hattest Du ja mit dem Verfassen des Blogs). Wenn Du magst können wir den Kontakt gerne per Mail halten. Viele Grüße Daniele

Morgana LaGoth: Mail-Adresse steht oben bei "kontakt" - bei weiteren Fragen, gerne.

[30.07.20 / 12:44] Daniele1992: Guten Morgen,
vielen Dank für Deinen tollen Blog. Ich habe ihn in den letzten Wochen komplett gelesen. Meistens konnte ich gar nicht aufhören zu lesen. Fast wie bei einem sehr spannenden Roman. Ich habe dabei Deine genauen Beobachtungen und Beschreibungen sehr genossen. Deine vielen Ausflüge in die Clubs und zu den Festivals oder Deine Streifzüge d durch die Geschäfte beschreibst Du immer aus Deiner Sicht sehr anschaulich und spannend. Ich kann das sehr gut nachvollziehen, das alleine zu erleben, häufig auch mit einer gewissen Distanz. Ich kenne ich von mir sehr gut. Highlights sind Deine Reiseberichte. Deine Erlebnisse an den unterschiedlichsten Orten auf der Welt. Vielen Dank dafür. Vielen Dank auch das Du Deinen Weg zu Deinem waren Geschlecht mit uns Lesern teilst. Deinen Weg Deine Gefühle Deine zeitweisen Zweifel. Das ist sehr wertvoll auch für uns Andere, denn es ist authentisch und sehr selten. Du bist einem dadurch sehr vertraut geworden. Für mich ist eine gefühlte grosse Nähe dadurch entstanden. Umso mehr schmerzt es mich von Deinen Rückschlägen zu lesen. Von Deinem Kampf zu Deinem wahren Ich. Von Deinem Kampf umd Liebe, Zährlichkeit und Akzepzanz und Anerkenung. Von Deiem mitunter verzweifeltem Kampf nach Liebe und Anerkennung durch Deinen Exfreund. Leider vergeblich. Dein Kampf um wirtschaftliche Unabhängigkeit und Deine aktuell missliche Lage. Ich glaube dass Du nicht gescheitert bist. Du hast viel Mumm und Hardnäckigkeit bewiesen Deinen Gang zu Dir selbst zu gehen. Du hast auch einen guten Beruf der immer noch sehr gefragt ist. Vielleicht kann ja nach dieser Auszeit und etwas Abstand ein Neuanfang in einer anderen Firma, wo Du keine Vergangenheit als Mann hattest gelingen. Ich wünsche das Dir ein Neuanfang gelingt und drücke Dir ganz fest die Daumen. Daniele

Morgana LaGoth: Da liest sich tatsächlich jemand alles durch? Das ist mittlerweile schon ein kompletter Roman mit mehreren hundert Seiten! Danke dir, für deinen Kommentar (und die aufgebrachte Zeit).

[05.10.19 / 17:11] Drea Doria: Meine liebe Morgana,
bin 5 T post all-in-one-FzF-OP. Deine guten Wünsche haben geholfen. Der Koch ist immernoch noch super. Alle hier sind herzlich und nehmen sich Zeit.
Herzlich
Drea

Morgana LaGoth: Dann wünsch ich dir jetzt noch viel mehr Glück bei deiner Genesung!

[14.06.19 / 12:57] Drea Doria: Meine liebe Morgana,

vielen Dank für Deine offenen und kritischen Erlebnisberichte. Ich bin in 3 Monaten in Sanssouci zur FzF-OP. Ich denke auch, was kann schon schief gehen, status quo geht nicht und irgendwas besseres wird wohl resultieren. Wenn es Dich interessiert, halte ich Dich informiert. Drücke mir die Daumen.
Herzlich
Drea

Morgana LaGoth: Ich wünsche dir für deine Operation viel Glück. (Sollte der Koch nicht gewechselt haben, das Essen da in der Klinik ist richtig gut!)

[14.11.17 / 20:13] Morgana LaGoth: Nutzungsbedingungen für die Kommentarfunktion: Die Seitenbetreiberin behält sich das Recht vor, jeden Kommentar, dessen Inhalt rassistisch, sexistisch, homophob, transphob, ausländerfeindlich oder sonstwie gegen eine Minderheit beleidigend und diskriminierend ist, zu zensieren, zu kürzen, zu löschen oder gar nicht erst freizuschalten. Werbung und Spam (sofern die Seitenbetreiberin dafür nicht empfänglich ist) wird nicht toleriert. Personenbezogene Daten (Anschrift, Telefonnummer) werden vor der Veröffentlichung unkenntlich gemacht.

1

Name:
Mail (optional):
Website:

Der Blogeintrag auf dem sich dein Kommentar bezieht:

Kommentar (max. 2048 Zeichen):

Bitcoin punk: '…some coins?'