Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 29-05-2020 08:28:13

sissou
Membre
Inscription : 23-11-2016

msmtp : erreur utilisation du fichier de confiance X509 /etc/ssl/cert

Bonjour,
Depuis plusieurs années mon serveur debian envoie des notifications avec le smtp de mon compte Google, via msmtp.
Ce système fonctionna sans problème, sauf depuis 2 jours où les mails ne partent plus, renvoyant cette erreur :

echo "hello there username." | msmtp -a default mon.adresse2@gmx.fr
msmtp: erreur d'utilisation du fichier de confiance X509 /etc/ssl/certs/ca-certificates.crt pour la session TLS : Error while reading file.
msmtp: le courriel n'
a pas pu être envoyé (compte default dans /etc/msmtprc)


Pourquoi ce changement ?

Voici également le fichier msmtprc :

account default
tls on
host smtp.gmail.com
port 587
from mon.adresse1@gmail.com
auth on
user mon.adresse1
password mon.mot.de.passe.gmail
tls_starttls on
tls_certcheck on
tls_trust_file /etc/ssl/certs/ca-certificates.crt
aliases               /etc/aliases

Hors ligne

#2 29-05-2020 15:06:28

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : Linux 5.13.10
(G)UI : openbox
Inscription : 26-08-2010

Re : msmtp : erreur utilisation du fichier de confiance X509 /etc/ssl/cert

La première question que je me pose est : le fichier


/etc/ssl/certs/ca-certificates.crt
 


existe-t-il ?

Ensuite, peut-être que google a changé son certificat et que comme debian n'a pas encore mis à jour
ces certificats, ça ne passe pas. Il y a un moyen de contourner en téléchargeant le certificat de google et en
modifiant le fichier de conf de msmtp.

Enfin, tu peux aussi passer la variable tls_certcheck à off, mais c'est très déconseillé,
autant dire : ne le fais pas !

Dernière modification par enicar (29-05-2020 16:26:22)

Hors ligne

#3 29-05-2020 16:13:23

sissou
Membre
Inscription : 23-11-2016

Re : msmtp : erreur utilisation du fichier de confiance X509 /etc/ssl/cert

Bonjour,
Le fichier "ca-certificates.crt" est bien présent, et au bon endroit.

Il semble qu'on peut ajouter des certificats et les recenser avec la commande update-ca-certificates.
Bon je pense qu'il vaut mieux attendre que les bons certificats soient fournis directement depuis les dépôts Debian...
Vous savez combien de temps cela peut mettre pour une mise à jour ?

Hors ligne

#4 29-05-2020 16:25:50

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : Linux 5.13.10
(G)UI : openbox
Inscription : 26-08-2010

Re : msmtp : erreur utilisation du fichier de confiance X509 /etc/ssl/cert

sissou a écrit :

Vous savez combien de temps cela peut mettre pour une mise à jour ?


Ça m'est arrivé d'attendre plusieurs mois…

Hors ligne

#5 29-05-2020 21:51:11

Philou92
Adhérent(e)
Lieu : Hauts de Seine
Distrib. : Debian bullseye (testing)
Noyau : Linux 5.10.0-5-amd64
(G)UI : LightDM et Xfce4.16
Inscription : 29-04-2015

Re : msmtp : erreur utilisation du fichier de confiance X509 /etc/ssl/cert

Ce ne serait pas un problème de configuration du compte goûtgueule, genre demande de double authentification ?

Tousse antique Ovide !

Hors ligne

#6 29-05-2020 23:32:09

sissou
Membre
Inscription : 23-11-2016

Re : msmtp : erreur utilisation du fichier de confiance X509 /etc/ssl/cert

Oui bonne remarque !

Mais il ne s'agit pas de cela : depuis nextcloud j'ai le même compte paramétré pour envoyer des notifications, et cela fonctionne avec ces paramètres :

Chiffrement : SSL/TLS
host : smtp.gmail.com
port : 465
from mon.adresse1@gmail.com
Méthode d'authentification : Login



Du coup c'est peut-être un problème de droits : nextcloud fonctionne avec le user www-data !?
Le port est également différent (465 au lieu de 587) : si dans Nextcloud je remplace 465 par 587 alors cela ne fonctionne plus...
Et le port 465 ne fonctionne pas avec msmtp...

Hors ligne

#7 29-05-2020 23:37:50

sissou
Membre
Inscription : 23-11-2016

Re : msmtp : erreur utilisation du fichier de confiance X509 /etc/ssl/cert

Voici les droits sur le fichier ca-certificates.crt :

-rw-r--r-- 1 root root


Ce qui doit faire 744

Hors ligne

#8 29-05-2020 23:41:28

Philou92
Adhérent(e)
Lieu : Hauts de Seine
Distrib. : Debian bullseye (testing)
Noyau : Linux 5.10.0-5-amd64
(G)UI : LightDM et Xfce4.16
Inscription : 29-04-2015

Re : msmtp : erreur utilisation du fichier de confiance X509 /etc/ssl/cert

sissou a écrit :

Et le port 465 ne fonctionne pas avec msmtp...


Curieux, d’où tiens-tu cette info. J’ai des configurations msmtp en port 465 qui fonctionnent sans problème.


Tousse antique Ovide !

Hors ligne

#9 29-05-2020 23:49:00

Philou92
Adhérent(e)
Lieu : Hauts de Seine
Distrib. : Debian bullseye (testing)
Noyau : Linux 5.10.0-5-amd64
(G)UI : LightDM et Xfce4.16
Inscription : 29-04-2015

Re : msmtp : erreur utilisation du fichier de confiance X509 /etc/ssl/cert

sissou a écrit :

Ce qui doit faire 744


Ou plutôt 644.


Tousse antique Ovide !

Hors ligne

#10 29-05-2020 23:49:02

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : Linux 5.13.10
(G)UI : openbox
Inscription : 26-08-2010

Re : msmtp : erreur utilisation du fichier de confiance X509 /etc/ssl/cert

Remarquez, de temps en temps c'est utile de se connecter à son compte
gmail via l'interface web. De temps en temps ils demandent une vérification
avec un sms. C'est la première chose à faire lorsqu'on a un soucis avec gmail.

L'autre truc à faire, ça serait de ne pas utiliser gmail,  c'est en cours
de changement pour ma part mais c'est HS.
out.gif

Hors ligne

#11 30-05-2020 00:09:18

sissou
Membre
Inscription : 23-11-2016

Re : msmtp : erreur utilisation du fichier de confiance X509 /etc/ssl/cert

Je ne me sers de gmail que pour envoyer ce type de mail : je ne suis jamais parvenu à faire fonctionner msmtp avec un autre fournisseur...

Hors ligne

#12 30-05-2020 00:15:37

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : Linux 5.13.10
(G)UI : openbox
Inscription : 26-08-2010

Re : msmtp : erreur utilisation du fichier de confiance X509 /etc/ssl/cert

sissou a écrit :

je ne suis jamais parvenu à faire fonctionner msmtp avec un autre fournisseur...


C'est bizarre, j'arrive à utiliser msmtp avec deux autres fournisseurs : bouygues (c'est mon FAI) et
gresille.org (un fournisseur de service associatif à Grenoble et alentours).
Pour bouygues, tls = off et pas d'authentification. Je ne suis pas arrivé à le faire fonctionner
autrement (mais je n'utilise pas cette adresse de tout façon).

Hors ligne

#13 30-05-2020 10:06:55

sissou
Membre
Inscription : 23-11-2016

Re : msmtp : erreur utilisation du fichier de confiance X509 /etc/ssl/cert

Bon ce n'est pas une solution en soi, mais pour que l'envoi de mails fonctionne correctement je passe maintenant par Postfix.
J'ai suivi cet excellent tuto : "3 Simple Steps to Send Email Alerts From a Linux Server" (https://dlford.io/send-email-alerts-from-linux-server/).
Et l'envoi de mails fonctionne bien avec cela.

NB : l'utilisation des certificats est différente avec Postfix :

smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

Hors ligne

#14 30-05-2020 16:01:45

Philou92
Adhérent(e)
Lieu : Hauts de Seine
Distrib. : Debian bullseye (testing)
Noyau : Linux 5.10.0-5-amd64
(G)UI : LightDM et Xfce4.16
Inscription : 29-04-2015

Re : msmtp : erreur utilisation du fichier de confiance X509 /etc/ssl/cert

Tu peux peut-être essayer d’installer le certificat de gmail sur ta machine.

openssl s_client -connect smtp.gmail.com:465 -tls1_3


CONNECTED(00000003)
depth=2 OU = GlobalSign Root CA - R2, O = GlobalSign, CN = GlobalSign
verify return:1
depth=1 C = US, O = Google Trust Services, CN = GTS CA 1O1
verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Google LLC, CN = smtp.gmail.com
verify return:1
---
Certificate chain
 0 s:C = US, ST = California, L = Mountain View, O = Google LLC, CN = smtp.gmail.com
   i:C = US, O = Google Trust Services, CN = GTS CA 1O1
 1 s:C = US, O = Google Trust Services, CN = GTS CA 1O1
   i:OU = GlobalSign Root CA - R2, O = GlobalSign, CN = GlobalSign
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIEyDCCA7CgAwIBAgIRAP58X1JX4G7QCAAAAAA+vxIwDQYJKoZIhvcNAQELBQAw
QjELMAkGA1UEBhMCVVMxHjAcBgNVBAoTFUdvb2dsZSBUcnVzdCBTZXJ2aWNlczET
MBEGA1UEAxMKR1RTIENBIDFPMTAeFw0yMDA1MDUwODM2MTZaFw0yMDA3MjgwODM2
MTZaMGgxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRYwFAYDVQQH
Ew1Nb3VudGFpbiBWaWV3MRMwEQYDVQQKEwpHb29nbGUgTExDMRcwFQYDVQQDEw5z
bXRwLmdtYWlsLmNvbTBZMBMGByqGSM49AgEGCCqGSM49AwEHA0IABJ3coJXBkhWp
OrQXxKPp6KDAU+tYsoXZHWVgttba2kMVfrpVh7ZgyaZ/JvuWXFDdeCky+Licy2ZJ
RmM6Gw6oAm+jggJcMIICWDAOBgNVHQ8BAf8EBAMCB4AwEwYDVR0lBAwwCgYIKwYB
BQUHAwEwDAYDVR0TAQH/BAIwADAdBgNVHQ4EFgQUCKfSbAeWP4QwhV4+qxezz/i+
b1kwHwYDVR0jBBgwFoAUmNH4bhDrz5vsYJ8YkBug630J/SswaAYIKwYBBQUHAQEE
XDBaMCsGCCsGAQUFBzABhh9odHRwOi8vb2NzcC5wa2kuZ29vZy9ndHMxbzFjb3Jl
MCsGCCsGAQUFBzAChh9odHRwOi8vcGtpLmdvb2cvZ3NyMi9HVFMxTzEuY3J0MBkG
A1UdEQQSMBCCDnNtdHAuZ21haWwuY29tMCEGA1UdIAQaMBgwCAYGZ4EMAQICMAwG
CisGAQQB1nkCBQMwMwYDVR0fBCwwKjAooCagJIYiaHR0cDovL2NybC5wa2kuZ29v
Zy9HVFMxTzFjb3JlLmNybDCCAQQGCisGAQQB1nkCBAIEgfUEgfIA8AB1AKS5CZC0
GFgUh7sTosxncAo8NZgE+RvfuON3zQ7IDdwQAAABceQxbZgAAAQDAEYwRAIgOxU1
JJ5nJiavcNRRJZOc7OeTuuT8xDB+2SikAUHJzPcCIGSj/uKiUNBiqNy8RB+GA8XK
qR7vwZMB3rFxa7k1zERVAHcAb1N2rDHwMRnYmQCkURX/dxUcEdkCwQApBo2yCJo3
2RMAAAFx5DFunAAABAMASDBGAiEA87vL4e/Rgarvb1UDx/V/Sho12p3UBQT4uoxc
IbIJiQsCIQCBDAu+q/DtCcAaeMVaWWVU0xcpi4soToFu+zmBOU4nMTANBgkqhkiG
9w0BAQsFAAOCAQEATwpEt57Xe7JJX+uUf/wQOgyVRcZacsulBlgdwQPF2a1Wa4Bn
9RW3wLgEiLiIqmMGZCSY2g9rkDbSJEr4g3YwP5bTj52+JmTBIeV9VWWX7SXDYYEA
dOx6m4rqa6nIpZ6JyHKWDyRsnn6Y2KTrGCGsonQZygZGTQI3N/eDhzTfma9aABHe
ML1v627ZNNoDOUpxLp2HV67e9aYtDCQZfpULfnkXymsV0gDtVCKEjjCdHlLiz826
WVpoJwNCsQWSzqsrk57pAVeoNjGF02+p/Rmu12mKlSkRM0VOdGpa+5X2ZKV4lVii
WMUhBAzsRtlyjBEBRW9trrFTIrvf/BGGpBYF9w==
-----END CERTIFICATE-----
subject=C = US, ST = California, L = Mountain View, O = Google LLC, CN = smtp.gmail.com

issuer=C = US, O = Google Trust Services, CN = GTS CA 1O1

---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: ECDSA
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 2640 bytes and written 318 bytes
Verification: OK
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 256 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
---
Post-Handshake New Session Ticket arrived:
SSL-Session:
    Protocol  : TLSv1.3
    Cipher    : TLS_AES_256_GCM_SHA384
    Session-ID: 5F7C48F672E4B77E8F342BD1486F2FAFC1C746FAAC56E386E0927BF5D3D1C27F
    Session-ID-ctx:
    Resumption PSK: B1B02CF746B49CAF223EFB1D5CAD648C6F32B7EE4E0C80D0F50359343AEB9C5DD974F26437331C96F1A34B3D94D34877
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 172800 (seconds)
    TLS session ticket:
    0000 - 01 f5 4e 2c 0e 6a bb 00-4f 88 aa b4 86 44 86 63   ..N,.j..O....D.c
    0010 - 55 e4 ea e3 76 66 c6 51-03 f9 81 27 c0 b2 8c be   U...vf.Q...'....
    0020 - 4c fe c6 d1 b7 b6 27 ba-aa 8e d1 32 34 7a f9 68   L.....'....24z.h
    0030 - fc 1b 02 db b9 64 8f c8-45 94 18 99 23 ff 0a ae   .....d..E...#...
    0040 - bd 6b 2f 80 85 4e 8d aa-af 2b 42 bc 3c c8 a8 ed   .k/..N...+B.<...
    0050 - 31 8b 0c 6c 10 8d 82 9f-56 6e 02 d8 5e ff 68 9e   1..l....Vn..^.h.
    0060 - b2 31 d2 2f 4e cb 7f 9d-87 a6 14 c5 46 8b a3 f5   .1./N.......F...
    0070 - bc c2 fd 7d 5f 0e 30 9a-57 ff 43 da 44 4a ee da   ...}_.0.W.C.DJ..
    0080 - 3a bd 5e 4f 64 e7 b6 3e-c2 61 1f 3c 74 40 d9 3a   :.^Od..>.a.<t@.:
    0090 - 65 8a 71 8a 29 1b de 56-62 a9 17 0c dc 05 de 8a   e.q.)..Vb.......
    00a0 - d1 96 19 9c 3a 56 6c 48-2e a7 17 22 47 e1 b2 c6   ....:VlH..."G...
    00b0 - 78 7e 7c 13 57 e0 06 2a-4a 5b 40 18 e3 00 e5 c3   x~|.W..*J[@.....
    00c0 - b1 b4 d3 1c 4f fc b6 8a-50 1e 65 5f 3e 9b eb f6   ....O...P.e_>...
    00d0 - 5d 47 83 be b4 d0 a4 4f-9a 27 57 37 77 e2 d3 88   ]G.....O.'W7w...
    00e0 - 25 ba f1 e2 b8 66 ac 42-db e4 ff 53               %....f.B...S

    Start Time: 1590849800
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
    Max Early Data: 0
---
read R BLOCK
---
Post-Handshake New Session Ticket arrived:
SSL-Session:
    Protocol  : TLSv1.3
    Cipher    : TLS_AES_256_GCM_SHA384
    Session-ID: 2335DEF4F77CF54FC3539C34E6E1DB08E85B657DD2FFEDB1EA5C226E2BE0FEA4
    Session-ID-ctx:
    Resumption PSK: F54BC72C17C665557D48901CA0CA1662BDB002F2213146275712A95211E7BC0B04873F144720CB21DFE84AFA6FDDAC9A
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 172800 (seconds)
    TLS session ticket:
    0000 - 01 f5 4e 2c 0e 6a bb 00-4f 88 aa b4 86 44 86 63   ..N,.j..O....D.c
    0010 - b6 1a cd 86 cf 1c 35 76-88 cb c0 ae 06 cf 9b 36   ......5v.......6
    0020 - 3f 18 ff 92 35 34 7b b6-3f 08 3b 1b 36 85 34 27   ?...54{.?.;.6.4'
    0030 - 91 22 d3 6f 03 b0 31 84-31 b3 5d bf 54 85 bb 5f   .".o..1.1.].T.._
    0040 - ec 12 03 12 da d3 4f 3b-6c cc 89 ad ee 22 67 13   ......O;l...."g.
    0050 - 18 12 56 49 45 ad 9e d8-b5 71 27 a5 6d 36 67 ce   ..VIE....q'.m6g.
    0060 - 28 a5 ef 96 64 85 24 fd-4e 86 47 e8 bb 02 6b 70   (...d.$.N.G...kp
    0070 - c0 be 7a f1 d7 6d 2a 63-4b aa 79 8a 01 20 6d bb   ..z..m*cK.y.. m.
    0080 - dc f4 5f 48 ad ca af ed-63 93 b3 f9 e1 f3 4c 8d   .._H....c.....L.
    0090 - 2e fe b9 72 2a 9e 63 b6-68 11 09 44 c9 77 cf 44   ...r*.c.h..D.w.D
    00a0 - 5d f7 5c 6a 5c 5b 42 95-dc 40 c3 0e 6a af fa e9   ].\j\[B..@..j...
    00b0 - dd f9 c1 0c a4 a5 8d f0-0d e4 8d 91 f5 52 28 a3   .............R(.
    00c0 - 8c d5 22 32 f2 a3 24 75-d4 13 c3 f1 f4 7b a1 31   .."2..$u.....{.1
    00d0 - 82 8d 82 18 6a 15 e1 42-21 6d 9d fa a6 27 36 cc   ....j..B!m...'6.
    00e0 - 04 27 59 da 06 29 08 65-88 27 e8 bf               .'Y..).e.'..

    Start Time: 1590849800
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
    Max Early Data: 0
---
read R BLOCK
220 smtp.gmail.com ESMTP u74sm3905463wmu.13 - gsmtp

 

Dernière modification par Philou92 (30-05-2020 16:45:44)


Tousse antique Ovide !

Hors ligne

#15 15-06-2020 07:33:11

sissou
Membre
Inscription : 23-11-2016

Re : msmtp : erreur utilisation du fichier de confiance X509 /etc/ssl/cert

Il y a eu une mise à jour du paquet ca-certificates tout récemment :

dpkg status changes
Upgraded:
  ca-certificates:all 20190110 => 20200601~deb10u1


Ça doit régler le problème rencontré.

Hors ligne

Pied de page des forums