dovecot: imap-login // SSL_get_servername

Markus Winkler ml at irmawi.de
So Sep 8 11:47:13 CEST 2024 

Hallo Nico,

On 08.09.24 00:28, Nico Funke via Postfixbuch-users wrote:
> 
>     ich schreib dir mal so damit der Kreis etwas kleiner ist.

da Du es (wahrscheinlich unbeabsichtigt) doch an die Liste geschickt 
hattest, antworte ich Dir auch mal hier. ;-)

>     Die Domain heißt anarchydica.net und ist soweit nicht geheimnisvoll,
>     nur soll die Konfiguration so weit wie möglich unbekannt bleiben.
>     Ich gehe zwar nicht davon aus, dass es jemand was nützt. Aber man weiß
>     ja nie. Auch leider nie wer still mitliest.

Deine Infos sind völlig unkritisch. Die Kiste steht frei zugänglich im 
Netz. Wenn da jemand was im Schilde führen sollte, benötigt er die paar 
Details hier nicht. ;-)

> echo QUIT | openssl s_client -connect mail.anarchydica.net:993
>     CONNECTED(00000003)
>     depth=0 CN = anarchydica.net
>     verify error:num=20:unable to get local issuer certificate
>     verify return:1
>     depth=0 CN = anarchydica.net
>     verify error:num=21:unable to verify the first certificate
>     verify return:1
>     depth=0 CN = anarchydica.net
>     verify return:1

Wie Alexander schon schrieb: Dein Server schickt nach wie vor das 
Intermediate-Cert nicht mit. Und dadurch kann Dein Thunderbird das 
Server-Cert nicht verifizieren.

Möglicherweise hast Du beim Erstellen der Datei /etc/ssl/folder/foo.pem 
etwas falsch gemacht oder die cabundle-Datei ist nicht korrekt (was ich mir 
aber fast nicht vorstellen kann).

Ich habe Dir mal die Datei für Dovecot erstellt und angehängt. Binde die 
bitte so ein (den Dateiname kannst Du natürlich anpassen):

ssl_cert = </etc/ssl/folder/nico.pem


Aber auch der zweite, schon mehrfach angesprochene Punkt ist wichtig: Du 
hattest den openssl-Test mit 'mail.anarchydica.net' ausgeführt. Da das Cert 
diesen Hostname nicht als SAN enthält, wird Thunderbird auch an dieser 
Stelle meckern (selbst wenn die Chain jetzt komplett ist).

Du hast zwei Möglichkeiten, dieses Problem zu lösen:

(1) Trage als Servername in Thunderbird statt 'mail.anarchydica.net' nun 
'anarchydica.net' ein.

'www.anarchydica.net' steht zwar ebenfalls als SAN im Cert und wäre damit 
theoretisch auch möglich, aber:

$ host www.anarchydica.net
Host www.anarchydica.net not found: 3(NXDOMAIN)


(2) Besorge Dir ein Zertifikat (von LE wäre es ja sogar kostenlos), bei dem 
(u. a.) 'mail.anarchydica.net' als SAN enthalten ist. Dann, und nur dann, 
kannst Du in Thunderbird 'mail.anarchydica.net' als Servername verwenden.

(Nebenbei: Da Du als MX für diese Domain 'mail.anarchydica.net' eingetragen 
hast, wäre (2) vielleicht der elegantere Weg, da Du es dann auch für 
Postfix nutzen kannst und auch dort gleich alles passen sollte.)

Viele Grüße
Markus
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nico.pem
Dateityp    : application/x-x509-ca-cert
Dateigröße  : 3830 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240908/03957037/attachment.pem>

Mehr Informationen über die Mailingliste Postfixbuch-users