dovecot: imap-login // SSL_get_servername

Markus Winkler ml at irmawi.de
Sa Sep 7 10:45:42 CEST 2024 

On 07.09.24 10:21, Alexander Stoll via Postfixbuch-users wrote:
> Am 06.09.2024 um 23:15 schrieb Nico Funke via Postfixbuch-users:
>>
>>     das ist ein Zertifikat von DigiCert (gekauft).
>>
>>     Das welches ich auch für andere Dienste nutze. Dem Webserver zum
>>     Beispiel.
>>
>>     Was meinst du mit Root Zertifikat? Ich habe es im Dovecot sowie im
>>     Postfix hinterlegt. Im Postfix gibt es keine Errors und auch im
>>     Dovecot keine Errormeldung hierzu.

@Nico: Ich kenne zwar Deine Config noch nicht genauer, aber ich vermute, 
dass bei:

ssl_cert = </etc/ssl/certs/imap.example.org.crt

in der Datei /etc/ssl/certs/imap.example.org.crt "nur" das Zertifikat 
selbst, nicht jedoch die komplette Chain enthalten ist. Das 
CA-Root-Zertifikat ist dabei wahrscheinlich gar nicht das Problem, eher ein 
sehr wahrscheinlich nötiges Intermediate-Cert. Und wenn das Dein 
Mail-Client/Thunderbird nicht kennt, meckert der rum.

Was die Hilfe in solchen Fällen erschwert, ist das Verschleiern der realen 
Domainnamen. In diesem Fall kommen nämlich noch eine Reihe weiterer 
denkbarer Fehlerquellen hinzu.

Daher die Bitte, mal Ross und Reiter zu nennen. Dann könnte man nämlich 
Dein reales System u. a. auch mal "von außen" checken.

@Alexander:

> In ganz komprimierter Form:
> 
> - Thunderbird lässt nicht mehr wie früher triviale Ausnahmen für self 
> signed certs und Zertifikate, die nicht über eine trusted CA im Client 
> verfügen zu, früher kam eine Dialogbox, mit der man eine Ausnahme 
> bestätigen konnte... nun ist die Welt halt viel "sicherer"...
> 
> - das vom Server präsentierte Cert muss von einer trusted CA stammen, kann 
> man auch selbst generieren und einpflegen -> Aufwand
[...]

IMHO alles unnötig: Nico hat ein offizielles Cert, dieses aber nicht 
korrekt in Dovecot eingebunden, würde ich bisher mal vermuten.

> - der Hostname für den IMAP-Server muss EXAKT dem im Server Cert 
> entsprechen (wenn also Cert www.xxxxxx.de lautet und im Thunderbird 
> imap.xxxxxx.de konfiguriert ist -> Fehler)

Genau und s. o.: Das ist eine mögliche Ursache. Durch den verschleierten 
Domainname lässt sich das aber für uns als Liste ja nicht beurteilen.

Viele Grüße
Markus

Mehr Informationen über die Mailingliste Postfixbuch-users