[Eisfair] E1: Umstellung auf SSL-Mail

Stefan Puschek stefan.puschek at t-online.de
Mo Nov 25 15:49:00 CET 2013 

Hallo NG,

ich wollte mich mal mit dem Thema SSL-Mail auseinandersetzen - wird ja demnächst 
akut. Ich will meine Vorgehensweise dokumentieren, damit ich im nächsten Jahr 
nicht wieder die gleichen Probleme habe - und andere Leute auch etwas davon 
haben. Hoffentlich hilft mir jemand dabei, denn ich stehe dabei ziemlich auf dem 
Schlauch. Als Howto habe ich 

http://www.eisfair.org/hilfe/howtos/mail/ssl-mail/

verwendet. Alle Pakete auf meinem E1 sind aktuell. Der E1 holt die Mails per 
pop3 beim jeweiligen Provider ab und legt sie den Usern in ihre Postfächer. Die 
User greifen per imap mit Thunderbird auf die Mails zu. Läuft seit Jahren 
problemlos. Als Mailprovider werden genutzt: t-online, web.de, gmx.de, gmx.net

In der config des Mailpaketes ändere ich erstmal nix - sonst gibts ja keine 
Mails mehr.

Aus den Infos der Provider sind die Server also:
			pop3.web.de port 995 & smtp.web.de port 587
			securepop.t-online.de port 995 & securesmtp.t-online.de port 587
@gmx.de		pop.gmx.de port 995 & mail.gmx.de port 587
@gmx.net	pop.gmx.net port 995 & mail.gmx.net port 587

Muss ich eigentlich gmx.de und gmx.net getrennt behandeln auch wenn die 
Fingerprints identisch sind?


Fingerprints besorgen klappt anscheinend:
pop3.web.de key fingerprint: B7:8C:97:E6:1E:88:AA:2B:0F:38:9C:78:20:E3:C7:36
securepop.t-online.de key fingerprint: 6B:55:A0:0F:F1:E9:A4:F5:47:07:AA:
63:79:8A:F8:D6
pop.gmx.de key fingerprint: 3D:0C:9A:45:53:86:0B:5B:C8:65:0A:63:9D:EF:F3:C9
pop.gmx.net key fingerprint: 3D:0C:9A:45:53:86:0B:5B:C8:65:0A:63:9D:EF:F3:C9


Zertifikate besorgen - na ja :(
Ich erhalte bei
openssl s_client -connect pop3.web.de:995 -showcerts
insgesamt 3 Blöcke mit 
-----BEGIN CERTIFICATE-----
MIIDrzCCA.......
-----END CERTIFICATE-----
welchen Block nehme ich denn nun? Ich vermute mal den ersten, denn nur dort 
steht Irgendwas mit web.de davor. Bei den anderen Providern das selbe Verhalten. 
Da lässt mich das Howto im Stich.

Die oben erhaltenen Zertifikatsblöcke füge ich also später jeweils in eine .pem-
Datei ein - Name ist egal.


CA-Zertifikate besorgen -na ja :(
Wenn ich mich nicht irre such ich bei jedem pop-Server nach den 
Zertifikatsblöcken nach dem Text 'issuer' - dort steht die CA. Ich brauche also 
Verisign und Thawte.

Aber sowohl bei Thawte als auch bei Verisign gibts jede Menge zum Download was 
mir absolut nix sagt. Wonach suche ich hier eigentlich???

Hoffentlich liest meinen Roman jemand mit und weiss weiter…

Groetjes
Stefan

Mehr Informationen über die Mailingliste Eisfair