(Natürlich) An einem Wochenende meldete das Monitoring plötzlich Probleme bei der E-Mail-Archivierung bei einem Kunden.
Der dortige MailStore Server ruft die Nachrichten von einem MDaemon Messaging Server ab. Bislang bei diesem (und vielen anderen Kunden) kein Problem.
Im Fehlertext fand sich folgender Hinweis:
Die Prüfung des SSL/TLS-Serverzertifikats ist fehlgeschlagen. Um die Zertifikatsprüfung zu umgehen, wählen Sie bitte die Option "SSL-Warnungen ignorieren". Details: Unable to perform revocation check of the server certificate.
Kurzum: Der MailStore Server kann nicht überprüfen, ob das Zertifikat zurückgerufen wurde.
Eine erste Prüfung ergab, dass das Zertifikat gültig ist, auch gab es keine Überschneidung mit irgendeiner Verlängerung, ein Dienst-Neustart änderte nichts, ein Aufruf von Webmail mit verschiedenen Browsern zeigte ebenfalls keine Probleme mit dem Zertifikat oder gar des kompletten Pfades. Als workaround wurde dann zunächst die Option “SSL-Warnungen ignorieren” aktiviert. Damit lief zwar die Archivierung wieder, allerdings bleibt damit eine Warnung seitens des MailStore Servers und in Folge im Monitoring stehen.
Gut zwei Tage später wurde dann diese Option wieder deaktiviert und siehe, es funktioniert wieder. Was auch immer das gewesen war, es ist (im Moment) weg.
Update 11.10.2021
Wie der Zufall so möchte, trat dieser Fehler ein gutes Jahr später erneut auf, diesmal allerdings nachvollzieh- und lösbar:
Innerhalb der vergangenen 24 Stunden kam die obige Fehlermeldung auf mehreren Systemen bei unterschiedlichen Kunden auf. Zwei auffällige Gemeinsamkeiten gab es allerdings:
- Windows Server 2012 R2 Standard
- Let’s Encrypt
Bei anderen Kombinationen, z.B. neuerer Windows-Server oder andere Zertifizierungsstelle, gab bzw. gibt’s es keine Schwierigkeiten.
Die jeweiligen Let’s Encrypt-Zertifikate die verwendet werden, sind aktuell und gültig. Prüft man zudem die Zertifikatskette mit einem Browser ist ebenfalls alles stimmig, ergo muss es innerhalb von Windows ein Problem geben.
Prüft man das Zertifikat in einer entsprechenden MMC, fällt schnell auf das zwar das Zertifikat in Ordnung ist, aber die Zertifikatskette bemängelt wird:
Bei Let’s Encrypt gab es vor nicht all zu langer Zeit einen Wechsel der Root-Zertifizierungsstelle, das alte Root-Zertifikat und in Folge deren Zwischenzertifizierungsstellen-Zertifikate sind mittlerweile abgelaufen.
Das Root-Zertifikat der neuen Stammzertifizierungsstelle (“ISRG Root X1”) ist in Windows zwar vorhanden, allerdings fehlt das aktuelle Zwischenzertifizierungsstellen-Zertifikat. Dieses wird meist nur “R3” genannt, auf den ersten Blick ist dieses zwar in der Zertifikate-MMC unter “Zwischenzertifizierungsstellen – Zertifikate” vorhanden, aber als Herausgeber steht in diesem Fall noch “DST Root CA X3” statt aktuell “ISRG Root X1”!
Und genau hier liegt das Problem. Windows “läuft” die Zertifikats-Kette ab und stößt dabei auf die abgelaufenen Root- und Zwischenzertifizierungsstellen-Zertifikate. Das Ganze ist einfach zu lösen:
- Das abgelaufene R3-Zertifikat löschen.
- Das aktuelle R3-Zertifikat herunterladen und importieren.
- Den MailStore Server-Dienst neu starten.
Ab dem nächsten Durchlauf der Archivierungsaufgabe(en) ist alles wieder in Ordnung.
Es kann zudem wie vor einem Jahr ebenfalls vorkommen, das plötzlich wieder alles in Ordnung ist, aktuell erlebt wurden mehrere unterschiedliche Abläufe, womöglich ist irgendwo etwas zwischengespeichert. Evtl. reicht es aus, nur das abgelaufene R3-Zertifikat zu entfernen.
30.11.2022
Gleiche Fehlermeldung, andere Ursache möchte man meinen: Bei einem Kunden mit einem gekauften Zertifikat streikte plötzlich die Archivierung. Ein paar Tage zuvor wurde das Zertifikat erneuert und im System importiert. Obwohl im MDaemon überall das neue Zertifikat ausgewählt und die Dienste mal neu gestartet wurden, war offenbar oder zumindest auf den verschlüsselte Mail-Ports noch das alte Zertifikat gebunden auch wenn es so nicht in der Verwaltung angezeigt wurde. Bei Webmail war das nicht der Fall, hier stimmte Anzeige und Realität überein.
Neben der Fehlermeldung durch den MailStore Server wurde dieses Problem zusätzlich noch mit OpenSSL verifiziert:
openssl s_client -showcerts -connect <IP oder FQDN>:<Port>
Das Löschen des alten Zertifikats und ein nochmaliges neu starten des MDaemon löste diesen Umstand.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Ich hatte dasselbe Problem.
Bei mir wurde es durch die Antiwirensoftware von Avast verursacht.
Hallo Christoph,
vielen Dank für die Info. Soetwas hatte ich ebenfalls im Verdacht, allerdings setzen wir Panda AD360 ein und das Problem trat auch nur bei einem Kunden (selbst mit deaktiviertem Schutz) auf.
Bei einem Kunden streikte auf einem PC nun der E-Mail-Versand, das Drucken (Netzwerkdrucker), die Fernwartung (pcvisit und TeamViewer).
Der E-Mail-Empfang funktionierte komischerweise ohne Probleme. Soweit das was man bemerkt hat.
Den Virenschutz (Panda AD360) deinstalliert und siehe da, alles funktioniert wieder.
Wir sind da nun auf Securepoint Antivirus Pro gewechselt.