couriertls Probleme

  • - Welche Version von pd-admin wird eingesetzt? 4.53
    - Welche Version der Serverumgebung wird eingesetzt? 4-0.286


    Debian - Jessie Minimal + PD-Admin


    - Welche Fehlermeldung erhalten Sie?


    Code
    May 10 12:09:29 server05 qmail-smtpSd: 1494410969.264124 couriertls: /usr/local/pd-admin2/var/couriersslcache: Permission denied
    May 10 12:09:29 server05 qmail-smtpSd: 1494410969.264164 couriertls: /usr/local/pd-admin2/share/dhparams.pem: error: 0200100D: system library: fopen: Permission denied
    May 10 12:09:29 server05 qmail-smtpSd: 1494410969.264610 couriertls: /usr/local/pd-admin2/share/pop3d.pem: error: 0906D06C: PEM routines: PEM_read_bio: no start line


    Der Server ist mit 4.52 neu installiert gewesen bei SE-Stand 4-0.280


    Heute beim Pd-admin Update ist mir der Fehler aufgefallen.
    Die Datei couriersslcache war tatsächlich nicht angelegt, obwohl die im ci-Script ja enthalten ist. Per "touch" habe ich sie jetzt einfach mal angelegt.


    Warum aber dhparams.pem nicht geöffnet werden kann ist mir schleierhaft.


    Manchmal war auch schon das eine PEM-Datei nicht korrekt mit Anfang und Ende der Zertifikatsbestandteile angelegt war, aber das ist hier nicht der Fall.


    Wo muss ich dran drehen?


    viele Grüße
    Manfred

  • Zitat

    - Welche Fehlermeldung erhalten Sie?


    May 10 12:09:29 server05 qmail-smtpSd: 1494410969.264124 couriertls: /usr/local/pd-admin2/var/couriersslcache: Permission denied
    May 10 12:09:29 server05 qmail-smtpSd: 1494410969.264164 couriertls: /usr/local/pd-admin2/share/dhparams.pem: error: 0200100D: system library: fopen: Permission denied
    May 10 12:09:29 server05 qmail-smtpSd: 1494410969.264610 couriertls: /usr/local/pd-admin2/share/pop3d.pem: error: 0906D06C: PEM routines: PEM_read_bio: no start line


    Die Fehler kommen von qmail-smtpSd. Interessant sind die Zeilen vor diesen Meldungen. Bei mir wurde jedes Mal auf Port 465 versucht eine Mail einzuliefern. Wenn Sie dies selber testen, wird der Fehler höchstwahrscheinlich ebenfalls auftreten.

    Zitat

    Warum aber dhparams.pem nicht geöffnet werden kann ist mir schleierhaft.


    /usr/local/pd-admin2/share/pop3d.pem ist ein Symlink auf /usr/local/pd-admin2/share/dhparams.pem.


    /usr/local/pd-admin2/share/dhparams.pem hatte bei mir root:root als Owner und die Rechte auf 600 gesetzt. Die Rechte müssen so angepasst werden, dass der Nutzer qmaild darauf zugreifen kann.

  • Die Meldungen kommen tatsächlich immer im Context mit einem abgelehnten smtp-auth


    Code
    May 11 07:25:05 server05 qmail-smtpSd: 1494480305.357205 tcpserver: status: 1/12 May 11 07:25:05 server05 qmail-smtpSd: 1494480305.357471 tcpserver: pid 31121 fr om 94.42.196.24 May 11 07:25:05 server05 qmail-smtpSd: 1494480305.357538 tcpserver: ok 31121 ser ver05:::ffff:78.46.220.147:465 :::ffff:94.42.196.24::60440 May 11 07:25:05 server05 qmail-smtpSd: 1494480305.362855 couriertls: /usr/local/ pd-admin2/var/couriersslcache: Permission denied May 11 07:25:05 server05 qmail-smtpSd: 1494480305.362864 couriertls: /usr/local/ pd-admin2/share/dhparams.pem: error:0200100D:system library:fopen:Permission den ied May 11 07:25:05 server05 qmail-smtpSd: 1494480305.363028 couriertls: /usr/local/pd-admin2/share/pop3d.pem: error:0906D06C:PEM routines:PEM_read_bio:no start line May 11 07:25:05 server05 qmail-smtpd: qmail-smtpd/VC started May 11 07:25:05 server05 qmail-smtpSd: 1494480305.559911 chkauth : Mail from 94.42.196.24 rejected, no SMTP-AUTH May 11 07:25:05 server05 qmail-smtpSd: 1494480305.561298 tcpserver: end 31121 status 0 May 11 07:25:05 server05 qmail-smtpSd: 1494480305.561331 tcpserver: status: 0/12


    Bei mir ist aber die Rechtestruktur auf allen PD-Adminservern genau diese hier:


    Code
    /usr/local/pd-admin2/share # ls -lisa *.pem
    7479365 4 -rw------- 1 root   root     424 Apr 27 04:25 dhparams.pem
    7479368 4 -r--r----- 1 qmaild nofiles 3528 Dez 15 08:52 imapd.pem
    7479367 0 lrwxrwxrwx 1 root   root      36 Mai 10 11:49 pop3d.pem -> /usr/local/pd-admin2/share/imapd.pem


    Den einzigen Unterschied den ich jetzt ausgemacht habe ist das die /service/qmail-smtpSd/run auf den Maschinen mit dem Fehler anders ist, und zwar wie folgt:


    Seltsam ist auch das diese couriersslcache datei gar nicht angelegt war und auch nachdem ich sie angelegt habe scheinbar nicht genutzt wird.

  • Zitat


    Den einzigen Unterschied den ich jetzt ausgemacht habe ist das die /service/qmail-smtpSd/run auf den Maschinen mit dem Fehler anders ist, und zwar wie folgt:


    Da wären doch die Unterschiede interessant zu wissen ;)


    Die besagten Dateien finden sich jedenfalls bei qmail-smtpSd wieder:

    Code
    # grep -r "dhparams.pem" /service/
    /service/qmail-smtpSd/env/TLS_DHPARAMS:/usr/local/pd-admin2/share/dhparams.pem
    
    
    # grep -r "couriersslcache" /service/
    /service/qmail-smtpSd/env/TLS_CACHEFILE:/usr/local/pd-admin2/var/couriersslcache


    Die Datei dhparams.pem wird vom Skript '/usr/local/pd-admin2/share/mkdhparams' erzeugt. Darin wird die Datei explizit root zugewiesen. Ich denke hier müsste 'qmaild' als Owner verwendet werden.
    Das Skript wiederum wird per Cronjob durch '/opt/pdadmin/bin/ci_dhe_params.sh' aufgerufen. Damit wird regelmäßig eine neue dhparams.pem Datei erzeugt.


    Zitat

    Seltsam ist auch das diese couriersslcache datei gar nicht angelegt war und auch nachdem ich sie angelegt habe scheinbar nicht genutzt wird.


    Müsste man mal die atime und mtime beobachten, ob sich da etwas ändert.