MailStore Server: Plötzlich auftretender Zertifikatsfehler bei der Archivierung

(Natürlich) An einem Wochenende meldete das Monitoring plötzlich Probleme bei der E-Mail-Archivierung bei einem Kunden.

Der dortige MailStore Server ruft die Nachrichten von einem MDaemon Messaging Server ab. Bislang bei diesem (und vielen anderen Kunden) kein Problem.

Im Fehlertext fand sich folgender Hinweis:

Die Prüfung des SSL/TLS-Serverzertifikats ist fehlgeschlagen. Um die Zertifikatsprüfung zu umgehen, wählen Sie bitte die Option "SSL-Warnungen ignorieren". Details: Unable to perform revocation check of the server certificate.

Kurzum: Der MailStore Server kann nicht überprüfen, ob das Zertifikat zurückgerufen wurde.

Eine erste Prüfung ergab, dass das Zertifikat gültig ist, auch gab es keine Überschneidung mit irgendeiner Verlängerung, ein Dienst-Neustart änderte nichts, ein Aufruf von Webmail mit verschiedenen Browsern zeigte ebenfalls keine Probleme mit dem Zertifikat oder gar des kompletten Pfades. Als workaround wurde dann zunächst die Option “SSL-Warnungen ignorieren” aktiviert. Damit lief zwar die Archivierung wieder, allerdings bleibt damit eine Warnung seitens des MailStore Servers und in Folge im Monitoring stehen.

Gut zwei Tage später wurde dann diese Option wieder deaktiviert und siehe, es funktioniert wieder. Was auch immer das gewesen war, es ist (im Moment) weg.

Update 11.10.2021

Wie der Zufall so möchte, trat dieser Fehler ein gutes Jahr später erneut auf, diesmal allerdings nachvollzieh- und lösbar:

Innerhalb der vergangenen 24 Stunden kam die obige Fehlermeldung auf mehreren Systemen bei unterschiedlichen Kunden auf. Zwei auffällige Gemeinsamkeiten gab es allerdings:

  • Windows Server 2012 R2 Standard
  • Let’s Encrypt

Bei anderen Kombinationen, z.B. neuerer Windows-Server oder andere Zertifizierungsstelle, gab bzw. gibt’s es keine Schwierigkeiten.

Die jeweiligen Let’s Encrypt-Zertifikate die verwendet werden, sind aktuell und gültig. Prüft man zudem die Zertifikatskette mit einem Browser ist ebenfalls alles stimmig, ergo muss es innerhalb von Windows ein Problem geben.

Prüft man das Zertifikat in einer entsprechenden MMC, fällt schnell auf das zwar das Zertifikat in Ordnung ist, aber die Zertifikatskette bemängelt wird:

Bei Let’s Encrypt gab es vor nicht all zu langer Zeit einen Wechsel der Root-Zertifizierungsstelle, das alte Root-Zertifikat und in Folge deren Zwischenzertifizierungsstellen-Zertifikate sind mittlerweile abgelaufen.

Das Root-Zertifikat der neuen Stammzertifizierungsstelle (“ISRG Root X1”) ist in Windows zwar vorhanden, allerdings fehlt das aktuelle Zwischenzertifizierungsstellen-Zertifikat. Dieses wird meist nur “R3” genannt, auf den ersten Blick ist dieses zwar in der Zertifikate-MMC unter “Zwischenzertifizierungsstellen – Zertifikate” vorhanden, aber als Herausgeber steht in diesem Fall noch “DST Root CA X3” statt aktuell “ISRG Root X1”!

Und genau hier liegt das Problem. Windows “läuft” die Zertifikats-Kette ab und stößt dabei auf die abgelaufenen Root- und Zwischenzertifizierungsstellen-Zertifikate. Das Ganze ist einfach zu lösen:

  • Das abgelaufene R3-Zertifikat löschen.
  • Das aktuelle R3-Zertifikat herunterladen und importieren.
  • Den MailStore Server-Dienst neu starten.

Ab dem nächsten Durchlauf der Archivierungsaufgabe(en) ist alles wieder in Ordnung.

Es kann zudem wie vor einem Jahr ebenfalls vorkommen, das plötzlich wieder alles in Ordnung ist, aktuell erlebt wurden mehrere unterschiedliche Abläufe, womöglich ist irgendwo etwas zwischengespeichert. Evtl. reicht es aus, nur das abgelaufene R3-Zertifikat zu entfernen.

3 Kommentare

  • Christoph Brüninghaus

    Ich hatte dasselbe Problem.
    Bei mir wurde es durch die Antiwirensoftware von Avast verursacht.

  • Hallo Christoph,

    vielen Dank für die Info. Soetwas hatte ich ebenfalls im Verdacht, allerdings setzen wir Panda AD360 ein und das Problem trat auch nur bei einem Kunden (selbst mit deaktiviertem Schutz) auf.

  • Bei einem Kunden streikte auf einem PC nun der E-Mail-Versand, das Drucken (Netzwerkdrucker), die Fernwartung (pcvisit und TeamViewer).
    Der E-Mail-Empfang funktionierte komischerweise ohne Probleme. Soweit das was man bemerkt hat.
    Den Virenschutz (Panda AD360) deinstalliert und siehe da, alles funktioniert wieder.
    Wir sind da nun auf Securepoint Antivirus Pro gewechselt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.