Vsevolod Stakhov wrote:
> On 20/08/2015 14:12, l...@lena.kiev.ua wrote:
>>> дампов и корок нет. выб поглядели ту кору, где оно падает, этож
>>> не сложно
>
>> По умолчанию при крэше exim не сохраняется coredump. Недавно в
>> англоязычной exim-users были жалобы на signal 11:
>> https://lists.exim.org/lurker/message/20150816.204206.150bc9eb.en.html
>
>
> https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html
>
>>> Переходил ли кто на 4.86?
>
>> 3 недели назад, signal 11 в mainlog нет, но трафик маленький.
>> FreeBSD 6 i386.
>
>> А сообщения об ошибках certificate verification в логе мне не
>> мешают. Это только предупреждения, письма проходят нормально. В
>> FreeBSD если exim использует openssl, то количество таких
>> сообщений можно уменьшить, установив порт ca_root_nss (если openssl
>> не из портов, а из base, то make config поставить галочку "add
>> symlink to /etc/ssl/cert.pem").
>
> Возможно, следует добавить следующие две вещи в порт mail/exim:
>
> 1) зависимость от openssl должна быть жестко от openssl port, а не от
> openssl base
Сева, а может лучше дать возможность выбора использования OpenSSL из
порта или из базовой системы.
понятное дело, что в свете событий последнего года или полутора лучше
использовать портовый. но может у кого-то будут объективные причины
использовать базовый OpenSSL. а если exim по зависимостям потянет и
портовый OpenSSL, то куча остальных портов при сборке будут использовать
именно его.
> 2) при включении зависимости от openssl включать зависимость от
> ca_root_nss
а вот это хорошая идея. галка "Add symlink to /etc/ssl/cert.pem" вроде
там по дефолту стоит. так что в этом случае предупреждений о валидных
сертификатах уже не будет в логах.
но даже у крупных почтовых систем, даже при использовании сертификатов,
заверенных центрами сертификации, могут быть предупреждения в логах.
на примере домена narod.ru
# host -t mx narod.ru
narod.ru mail is handled by 10 mx2.yandex.ru.
narod.ru mail is handled by 10 mx1.yandex.ru.
narod.ru mail is handled by 10 mx3.yandex.ru.
смотрим Common Name сертификата на mx1.yandex.ru:
# true | openssl s_client -connect mx1.yandex.ru:25 -servername
mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout -subject
subject= /C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russian
Federation/CN=mx.yandex.ru/emailAddress=p...@yandex-team.ru
а в CN указан не mx1.yandex.ru, а mx.yandex.ru
смотрим синонимы:
# true | openssl s_client -connect mx1.yandex.ru:25 -servername
mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout -text |
grep -A 1 'Subject Alternative Name'
X509v3 Subject Alternative Name:
DNS:mx.yandex.ru, DNS:mx.yandex.net
тут есть mx.yandex.ru, mx.yandex.net, но нет mx1.yandex.ru
соответственно, в логах exim'а будут предупреждения о несоответствии
имени хоста MX'а и CN/Alternative Name сертификата: "SSL verify error:
certificate name mismatch".
у rambler.ru тоже самое - на основном MX'е imx1.rambler.ru используется
сертификат, выписанный для mail.rambler.ru:
# true | openssl s_client -connect imx1.rambler.ru:25 -servername
imx1.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout -subject
subject= /C=RU/ST=Moscow/L=Moscow/O=Rambler Internet Holdings,
LLC/CN=mail.rambler.ru
список синонимов там выше крыши, но imx1.rambler.ru среди них нет:
# true | openssl s_client -connect mail.rambler.ru:25 -servername
mail.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout -text |
grep -A 1 'Subject Alternative Name'
X509v3 Subject Alternative Name:
DNS:pop.rambler.ru, DNS:imap.rambler.ru,
DNS:smtp.rambler.ru, DNS:pop3.rambler.ru, DNS:mxf2.rambler.ru,
DNS:mxf1.rambler.ru, DNS:mail.rambler.ru
так что предупреждения в логах мы будем ещё долго вылавливать
кстати, ты товарищей из rambler.ru по старой памяти не хочешь подергать
по этому вопросу?
> Патч для исправления SIGSEGV я включу, как только будет вкоммичено
> решение для bug 1671 [1]
>
> [1]: https://bugs.exim.org/show_bug.cgi?id=1671
>
>
> _______________________________________________
> Exim-users mailing list
> Exim-users@mailground.net
> http://mailground.net/mailman/listinfo/exim-users
>
--
Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua
public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 371808614 JID: corvax_at...@jabber.corvax.kiev.ua
nic-handle: CRV-UANIC
_______________________________________________
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
