[Eisfair] Fetchmail Meldung, die zweite

Marcus Roeckrath marcus.roeckrath at gmx.de
Di Apr 29 23:38:38 CEST 2014


Hallo Carsten,

Carsten Lippert wrote:

>> Das müsste Dir auch eine Mail schreiben, in der der Fortschritt des
>> Fingerprint-Updates dokumentiert wird.
>> 
>> Diese Vorgänge werden auch in /var/log/mail-addon-certs.log geloggt.
>> 
>> Ich vermute dort steht drin:
>> 
>> No fingerprint update needed
>> 
>> weil der Zertifkatsdownload ein Zertifikat erbringt, dass den schon in
>> der Mailkonfiguration eingetragenen Fingerprint hat.
> 
> Korrekt....Sorry, es ist ziemlich lang, aber der Vollständigkeit halber:

Hab ichmir gedacht und Dein Log bestätigt das.

> Also warte ich mal wieder ab, betrifft ja dann wohl eine Menge User.

Du bist nicht alleine, auch Yves hat Ärger mit kundenserver.de IMHO auch bei
1und1.

> Die 
> User, die direkt bei 1&1 z. B. mit Thunderbird abholen, haben diese
> Probleme nicht, zumindest auf der Arbeit habe ich keinerlei Probleme.
> Macht der Mailclient da etwas "besser" bzw. "anders" als das Mailpaket
> bei eisfair?

Zwei Gedanken zu Thunderbird:

1. Thunderbird erkennt auch den Mismatch und bricht die Verbindung ab, ohne
davon Meldung zu machen; da ja nicht jeder Mailabruf betroffen ist, mekrt
man davon nichts, da ja Mails abgerufen werden.

Das halte ich für wahrscheinlicher als

2. Thunderbird merkt, dass das Zertifikat der Gegenstelle nicht stimmt und
schert sich einen Dreck darum, akzeptiert also das falsche Zertifikat.

Die zweite Möglichkeit konterkariert jede gesicherte Mailübertragung.

Warum Zertifikate prüfen, wenn man dann doch jedes - möglicherweise
untergeschobene - falsche Zertifikat akzeptiert wird.

Gerade Mozilla nimmt in sein Stammzertifikatebundle manche Zertifikate nicht
auf (z. B. die von cacert), sind also in sicherheitstechnischer Hinsicht
sehr kritisch.

Warum haben wir den "Ärger"?

Weil fetchmail nur dem auf dem eigenen Server hinterlegten und über den
Fingerprint identifizierbare Zertifikat vertraut.

Alles andere könnte eine Man-in-the-Middle-Attacke sein.

Ein "dann akzeptieren wir doch einfach das nun erhaltene Zertifikat, auch
wenn wir dem nicht vertrauen" gibt es nicht.

Wenn Jürgen nicht erst kürzlich eine Änderung in das Mailpaket eingebaut
hätte (die mir dann auch eine Handlungsmöglichkeit für das Addon erst
gibt), die eine Reaktion auf diesen Fehlerumstand ermöglicht, würden diese
Meldungen auch nur unbemerkt in den fetchmail-Logs rumgammeln.

Solange dann nicht plötzlich gar keine Mails mehr abgerufen würden, wäre das
niemandem aufgefallen.

-- 
Gruss Marcus


Mehr Informationen über die Mailingliste Eisfair