Vsevolod Stakhov wrote: > On 20/08/2015 14:12, l...@lena.kiev.ua wrote: >>> дампов и корок нет. выб поглядели ту кору, где оно падает, этож >>> не сложно > >> По умолчанию при крэше exim не сохраняется coredump. Недавно в >> англоязычной exim-users были жалобы на signal 11: >> https://lists.exim.org/lurker/message/20150816.204206.150bc9eb.en.html > > > https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html > >>> Переходил ли кто на 4.86? > >> 3 недели назад, signal 11 в mainlog нет, но трафик маленький. >> FreeBSD 6 i386. > >> А сообщения об ошибках certificate verification в логе мне не >> мешают. Это только предупреждения, письма проходят нормально. В >> FreeBSD если exim использует openssl, то количество таких >> сообщений можно уменьшить, установив порт ca_root_nss (если openssl >> не из портов, а из base, то make config поставить галочку "add >> symlink to /etc/ssl/cert.pem"). > > Возможно, следует добавить следующие две вещи в порт mail/exim: > > 1) зависимость от openssl должна быть жестко от openssl port, а не от > openssl base
Сева, а может лучше дать возможность выбора использования OpenSSL из порта или из базовой системы. понятное дело, что в свете событий последнего года или полутора лучше использовать портовый. но может у кого-то будут объективные причины использовать базовый OpenSSL. а если exim по зависимостям потянет и портовый OpenSSL, то куча остальных портов при сборке будут использовать именно его. > 2) при включении зависимости от openssl включать зависимость от > ca_root_nss а вот это хорошая идея. галка "Add symlink to /etc/ssl/cert.pem" вроде там по дефолту стоит. так что в этом случае предупреждений о валидных сертификатах уже не будет в логах. но даже у крупных почтовых систем, даже при использовании сертификатов, заверенных центрами сертификации, могут быть предупреждения в логах. на примере домена narod.ru # host -t mx narod.ru narod.ru mail is handled by 10 mx2.yandex.ru. narod.ru mail is handled by 10 mx1.yandex.ru. narod.ru mail is handled by 10 mx3.yandex.ru. смотрим Common Name сертификата на mx1.yandex.ru: # true | openssl s_client -connect mx1.yandex.ru:25 -servername mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout -subject subject= /C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russian Federation/CN=mx.yandex.ru/emailAddress=p...@yandex-team.ru а в CN указан не mx1.yandex.ru, а mx.yandex.ru смотрим синонимы: # true | openssl s_client -connect mx1.yandex.ru:25 -servername mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout -text | grep -A 1 'Subject Alternative Name' X509v3 Subject Alternative Name: DNS:mx.yandex.ru, DNS:mx.yandex.net тут есть mx.yandex.ru, mx.yandex.net, но нет mx1.yandex.ru соответственно, в логах exim'а будут предупреждения о несоответствии имени хоста MX'а и CN/Alternative Name сертификата: "SSL verify error: certificate name mismatch". у rambler.ru тоже самое - на основном MX'е imx1.rambler.ru используется сертификат, выписанный для mail.rambler.ru: # true | openssl s_client -connect imx1.rambler.ru:25 -servername imx1.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout -subject subject= /C=RU/ST=Moscow/L=Moscow/O=Rambler Internet Holdings, LLC/CN=mail.rambler.ru список синонимов там выше крыши, но imx1.rambler.ru среди них нет: # true | openssl s_client -connect mail.rambler.ru:25 -servername mail.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout -text | grep -A 1 'Subject Alternative Name' X509v3 Subject Alternative Name: DNS:pop.rambler.ru, DNS:imap.rambler.ru, DNS:smtp.rambler.ru, DNS:pop3.rambler.ru, DNS:mxf2.rambler.ru, DNS:mxf1.rambler.ru, DNS:mail.rambler.ru так что предупреждения в логах мы будем ещё долго вылавливать кстати, ты товарищей из rambler.ru по старой памяти не хочешь подергать по этому вопросу? > Патч для исправления SIGSEGV я включу, как только будет вкоммичено > решение для bug 1671 [1] > > [1]: https://bugs.exim.org/show_bug.cgi?id=1671 > > > _______________________________________________ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users > -- Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc ICQ UIN: 371808614 JID: corvax_at...@jabber.corvax.kiev.ua nic-handle: CRV-UANIC _______________________________________________ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users