we have a Sophos UTM 9, and get our mails via POP3 Proxy + SSL.
In the protocols of the E-Mail server (we use Tobit David) I see, that the SSL certificate of the Sophos UTM9 is used:
Code: Select all
POP3MainThread: g_ActiveThreads=0, Inprocess=
POP3MainThread: after waitWhileActive() g_ActiveThreads=0, Inprocess=
:1: (00001092) OutOfBandDataInline: 1
:2: (00001108) ReUseAddr : 1
:5: (00001104) OutOfBandDataInline: 1
:1: (00001092) KeepAlive : 5 minutes
:2: (00001108) OutOfBandDataInline: 1
:5: (00001104) KeepAlive : 5 minutes
:2: (00001108) KeepAlive : 5 minutes
:6: (00000840) Socket Bound to Port 0
:4: (00001052) Socket Bound to Port 0
:1: (00001092) Socket Bound to Port 0
:5: (00001104) Socket Bound to Port 0
:2: (00001108) Socket Bound to Port 0
:3: (00001100) Socket Connected to 212.227.15.162
:6: (00000840) Socket Connected to 212.227.15.178
:1: (00001092) Socket Connected to 212.227.15.162
:4: (00001052) Socket Connected to 212.227.15.178
:5: (00001104) Socket Connected to 212.227.15.162
:2: (00001108) Socket Connected to 212.227.15.178
(00001100)(DAVIDTLS) Server certificate information:
(00001100) Subject: /C=de/L=Stadt/O=Firma/CN=firewall.firma.de
(00001100) Issuer: /C=de/L=Stadt/O=Firma/CN=Firma WebAdmin CA/emailAddress=administrator@firma.de
(00001100) SSL version=TLSv1.2 cipher=AES256-GCM-SHA384 bits=256
:3: SSL connected
:3: ReceiveMail: connected, Socket=00001100
:3: (00001100) read (31/0)
:3: (00001100) Got complete TCP Message (Size=31)
:3: +OK POP3Proxy ready on node 1
Code: Select all
[root@mw24mailgate certs]# fetchmail -v -a -k -f /etc/fetchmailrc
fetchmail: WARNUNG: Vom Betrieb mit root-Rechten wird abgeraten.
fetchmail: 6.3.24 fragt pop.1und1.de ab (Protokoll POP3) um Mi 10 Nov 2021 13:13:11 CET: Abfrage gestartet
Versuche, mit 212.227.15.162/995 zu verbinden...verbunden.
fetchmail: Server-Zertifikat:
fetchmail: Herausgeber-Organisation: Firma
fetchmail: Herausgeber-CommonName: Firma WebAdmin CA
fetchmail: Subjekt-CommonName: firewall.firma.de
fetchmail: Subject Alternative Name: firewall.firma.de
fetchmail: Server-CommonName stimmt nicht überein: firewall.firma.de != pop.1und1.de
fetchmail: pop.1und1.de-Schlüssel-Fingerabdruck: F7:3D:0F:ED:EE:E8:E5:E9:0A:AA:0F:E1:A0:76:7F:61
fetchmail: Fehler bei Server-Zertifikat-Überprüfung: unable to get local issuer certificate
fetchmail: Das heißt, dass das Wurzelzertifikat (ausgestellt für /C=de/L=Stadt/O=Firma/CN=firewall.firma.de) nicht unter den vertrauenswürdigen CA-Zertifikaten ist, oder dass c_rehash auf dem Verzeichnis ausgeführt werden muss. Details sind in der fetchmail-Handbuchseite im bei --sslcertpath beschrieben.
140654116874128:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:s3_clnt.c:1264:
fetchmail: SSL-Verbindung fehlgeschlagen.
fetchmail: Socket-Fehler beim Abholen von info@firma.com@pop.1und1.de
fetchmail: 6.3.24 fragt ab pop.1und1.de (Protokoll POP3) um Mi 10 Nov 2021 13:13:11 CET: Abfrage beendet
fetchmail: Abfragestatus=2 (SOCKET)
fetchmail: normale Beendigung, Status 2
What i tried meanwhile?
I downloaded the local x509 cert *.pem file from the sophos utm 9, uploded it to /etc/ssl/certs and did an c_rehash.
No success.
I tried several parameters in the fetchmailrc file, no success.
Does anybody have a tip, where i can search ?
best regards,
Frank