Apple Mail und Mailserver

christian usenet at schani.com
Mi Sep 18 19:56:51 CEST 2024 

Hallo Gerald,
ja ich verstehe was Du meinst. Da ist der Fehler drin.

leicht.info hat ein Let´sEncrypt Cert das für smtp und pop/imap 
verwendet wird. Grund: Ich hatte das mal vor 25 Jahren so angelegt weil 
ich nur ein (teures) Cert für alles hatte. Habs aber nicht geändert da 
einige User alles so seit Jahren benutzen. OK ist nicht sauber.

für die postfix smtpd Seite habe ich ein wwl10.leicht.info Let´sEncrypt 
Cert.

Ihr schreibt das man mehrere Domains in ein Let´sEncrypt Cert packen 
kann? Wäre das eine Lösung? Wenn leicht.info und wwl10.leicht.info in 
Eingehend (smtpd) und Ausgehend (smtp) im Postfix angelegt wären?

Und wie würde das funktionieren? reicht es leicht.info.crt und 
wwl10.leicht.info.crt in ein File zu schreiben und das zu verwenden?
Oder wird das von Let´sEncrypt extra erstellt?

Danke für Eure Geduld

Christian




Am 18.09.2024 um 04:01 schrieb Gerald Galster:
>> danke für die Ausführliche Beschreibung. Hab wieder viel gelernt. 
>> Meine MX Domain ist allerdings die wwl10.leicht.info und schani.com 
>> sendet über diese.
>> Wenn ich mir die Ergebnisse von hardenize.com anschaue ist nur ein 
>> Fehler drin. Das Zertifikat passt nicht zum Hostnamen. Was aber nicht 
>> stimmt.
>> dig leicht.info MX
>> leicht.info.            21600   IN      MX      10 wwl10.leicht.info.
>> dig schani.com MX
>> leicht.info.            21600   IN      MX      10 wwl10.leicht.info.
> 
> Bitte schau nochmal genau nach, hier liegt wirklich ein Problem vor:
> 
> $ host -t mx schani.com
> schani.com mail is handled by 10 wwl10.leicht.info.
> 
> Die MX-Host ist wwl10.leicht.info, so weit so gut.
> 
> Verbinden wir mal dorthin:
> 
> $ openssl s_client -connect wwl10.leicht.info:25 -starttls smtp -debug - 
> verify 5 -showcerts
> verify depth is 5
> CONNECTED(00000003)
> ...
> -----BEGIN CERTIFICATE-----
> MIIF5jCCBM6gAwIBAgISA+YKg3DFQDkZQJPyZuIVS8+2MA0GCSqGSIb3DQEBCwUA
> MDMxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MQwwCgYDVQQD
> EwNSMTEwHhcNMjQwODA4MjEyOTA0WhcNMjQxMTA2MjEyOTAzWjAWMRQwEgYDVQQD
> EwtsZWljaHQuaW5mbzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoCggIBAJeW
> 1np9Wd5OpL4eICa7dYD+u1WwpvlmVJetkL+b4w22AHjlZnWkDPAYupPQUfxuYD5P
> iyxKvjU52zvOVHVrlgq8nxjtAvFXLGdYUylEE0IMuKl6InGXd2vL/DUnk9fUOLzN
> rhuDFxK6gpNtFM4/nL3kq/6T+YJkLhsniqemUQ47mjGDdtncDCCG6WEgTqomuSPc
> 0UR1DtWAcVX/cKBLutJLXijpUawJXGQvI+1CLKd8cjGaGriCjRR164wzsyxSyOoD
> v4ARGhJsF7vYWkACEy4kVLLPsRA/7avDQ+hYxBo+P12r9yuSnlddca7AnTLJ6AYp
> pEbKKdyg1qRnIHcVdR3DVF/LVE+5RoAaeaUEy2aCmxDhbiahXM8LhL2qIOi89mUb
> 2/L+0yGX3Y2mC7jzZnkvArIQUCyz7jU5kyb3khABF+wUkcuYzfv+pE6EeUHi4g0w
> NpJnAx4MOBn2ox5VqaW+dSYrVXpwM2KVM/RjxlpYbrM+9PbXWIBCrVfYI9cVixY8
> oxNGm0/IuxR0DFf9scCCrlOCYIISepVj1AP2lEMn6mkxg7/IXMjv3q5TzL51RGaH
> T+Cmxm6e7yDp5sWKFqWHlEvftIvlZSV7k6jgnlWquilhfDUIW8DNP7osprQjAh5W
> NzzrV2wkNNN2QmuQcXs7zoYKHpLzBnuanaXWttIjAgMBAAGjggIPMIICCzAOBgNV
> HQ8BAf8EBAMCBaAwHQYDVR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMAwGA1Ud
> EwEB/wQCMAAwHQYDVR0OBBYEFJ61oun2U5i2a5n1Z4RIMO2yBcJXMB8GA1UdIwQY
> MBaAFMXPRqTq9MPAemyVxC2wXpIvJuO5MFcGCCsGAQUFBwEBBEswSTAiBggrBgEF
> BQcwAYYWaHR0cDovL3IxMS5vLmxlbmNyLm9yZzAjBggrBgEFBQcwAoYXaHR0cDov
> L3IxMS5pLmxlbmNyLm9yZy8wFgYDVR0RBA8wDYILbGVpY2h0LmluZm8wEwYDVR0g
> BAwwCjAIBgZngQwBAgEwggEEBgorBgEEAdZ5AgQCBIH1BIHyAPAAdQAZmBBxCfDW
> Ui4wgNKeP2S7g24ozPkPUo7u385KPxa0ygAAAZE0GsHjAAAEAwBGMEQCIFTrpfqV
> s3a1nw+KvjQRlzUDYcan9kIByPkN+R5vn1JOAiBbr7AZICMpT4bsQv7Pb7StJGcP
> KOPZWHcPfynkix7T/QB3AEiw42vapkc0D+VqAvqdMOscUgHLVt0sgdm7v6s52IRz
> AAABkTQawc8AAAQDAEgwRgIhAPi9cV62HRzKi/F9XFhQWLl9MFoXcTe4Ou2YHimd
> pvOkAiEAyJQnk1B9gHcenHyPiZh+CJq6Ejh99vo985paSCtl6mQwDQYJKoZIhvcN
> AQELBQADggEBAGADIX27MgyBqzhnjba6vqgzMruUMIOmpBn8W0BbdOFEhIaJ0nLd
> P8G3IPxb+ihwAZKOMRXfeZwnRFNIOkmFUwSLiMJqMqDexThzDIqtHOIo0m8OqI7W
> esEdxyD4AzrpzgSxYa8gLWhw+CnHzE2s8i5aU+M9zlC4PbyimtC7JpkuanUWvEQz
> IB95kvLJYuTTuca4jelWvRwh4UfWmsyGHZK80SQp7do79SDCPQ7jVgMfCsnclG+r
> 7RffVcaAo5n3fq16RjU1AQ5fAGQ7lsFLo5v0VwNCBG+dvYnfWSkM9tesDyo6RNgm
> 5jID+64QKSlmiWgenYnVcMNSHTHmcGQ/Mfk=
> -----END CERTIFICATE-----
> 
> Dieses Zertifikat (das erste in der Kette) übergibst Du per
> copy & paste an openssl, um die notwenigen Daten zu erhalten:
> 
> $ openssl x509 -text
> <copy & paste einfügen>
> 
> Ergibt:
> 
>          Issuer: C=US, O=Let's Encrypt, CN=R11
>          Validity
>              Not Before: Aug  8 21:29:04 2024 GMT
>              Not After : Nov  6 21:29:03 2024 GMT
>          Subject: CN=leicht.info
>          ...
>          X509v3 Subject Alternative Name:
>              DNS:leicht.info
>          ...
> 
> --> Das Zertifikat hört ausschließlich auf leicht.info, es müsste
> aber (auch) auf wwl10.leicht.info hören.
> 
> --> Dadurch kann das Zertifikat nicht verifiziert werden:
> 
>    posttls-finger: server certificate verification failed for
>    wwl10.leicht.info[142.132.211.104]:25: num=62:hostname mismatch
> 
> 
>> Gerade wird drüben in der Rspamd Mailingliste über emailspooftest.com 
>> gesprochen. Nach emailspooftest.com ist mein Server ein "Open Relay".
>> Na ja ist er nicht. https://mxtoolbox.com/supertool3? 
>> action=mx%3aleicht.info&run=toolpage
>>
>> Aber das zeigt mir das nicht alle Tools so zuverlässig sind. Aber ich 
>> teste jetzt alles durch und optimiere weiter.
> 
> Das kann passieren. Manchmal haben die Autoren solcher Tools in Bezug 
> auf SSL auch andere Vorstellungen als die Postfix-Maintainer.
> 
>> Mann muss sich halt die Infos zusammensuchen weil die Dokumentationen 
>> nicht allzu aufschlussreich sind. Besonders bei Rspamd
>>
>> Nochmal kurz zu Apple Mail. Da liegt das Problem meist bei der 
>> Einbindung in iCloud. Viele Leute haben mehrere Geräte in diese iCloud 
>> hängen und die mischt sich immer wieder ein und überschreibt neu 
>> angelegte Passwörter.
> 
> Das ist seltsam. In der Regel sollten neue Passwörter über den 
> Schlüsselbund auf alle Geräte synchronisiert werden.
> In den Einstellungen unter iCloud kann man auch abschalten, dass 
> Passwörter (Schlüsselbund) synchronisiert werden.
> 
> iOS 18 ist ganz frisch veröffentlich worden. Dort gibt es jetzt ein 
> "Passwörter"-App von Apple, mit der man Passwörter auch anzeigen kann.
> 
>> Gerade heute wieder passiert. Das Passwort wird zurückgestellt und der 
>> Mailclient vom iPhone ist im Firmennetzwerk über Wlan eingeloggt. Das 
>> iPhone fragt das Konto ab und verwendet wieder das falsche Passwort. 
>> Mein Fail2Ban legt die ganze Firmen IP lahm. 6 weiter Mitarbeiter 
>> können nicht emailen.
> 
> Und Du bist sicher, dass das über iCloud geht und die Firma nicht ein 
> MDM-System (Mobile Device Management) hat, das die iPhones konfiguriert?
> 
>> Ohne Fail2Ban gehts aber nicht. >15000 Anfragen täglich an dovecot mit 
>> falschen Passwörtern und EmailAdressen.
> 
> Schau Dir das eine Zeit lang an, evtl. komm diese Anfragen immer aus dem 
> selben Subnetz, dann kannst Du in fail2ban dafür eine Ausnahme hinzufügen.
> 
> Viele Grüße
> Gerald
>

Mehr Informationen über die Mailingliste Postfixbuch-users