[Eisfair] Warnungen bei SSL fetchmail
Dirk Alberti
Howy-1 at gmx.de
Mi Mär 26 21:47:47 CET 2014
Am 26.03.2014 21:09, schrieb Marcus Roeckrath:
> Hallo Detlev, hallo Dirk,
>
>
> Wer eisfair einsetzt - trifft auch für jedes andere Linux-Serversystem zu -
> betreibt einen Mailserver, der sich im Handling eines einfachen Mailclients
> wesentlich unterscheidet; beim Provider selbst läuft eine ähnliche
> Konstruktion, natürlich noch größer und komplexer.
>
> eisfair fungiert natürlich als Client gegenüber dem Mailserver des Providers
> bei der Mailabholung, aber dieser Begriff hat nichts mitdem Begriff Client
> im Sinne von Mailclientprogramm (z.B. Thunderbird) zu tun.
>
> Der Zugriff per Thunderbird auf die Mail - entweder direkt beim Provider
> oder beim eisfair-Mailserver - ist von gleicher Art.
>
> Wenn Du also Deinen eisfair auf ssl-AbruffürDeine internen Clients umstellst
> und Du änderst das lokale Zertifikat Deines Eisfair-Servers, wird sich
> Thunderbird auch das neue Serverzertifikat holen müssen, sofern auf dem eis
> überhaupt der Download des Zertifikates möglich ist.
>
> Hast Du auf dem eis Deine Mailserverzertifikat durch eine lokale CA
> signiert, musst Du auch Thunderbird dieses Zertifikat beibiegen.
>
> 1. Mailclient (z. B. Thunderbird)
>
> Ändert sich das Zertifikat des "angerufenen" Mailservers, holt dersich dann
> einfach das neue Zertifikat; das tut unter eisfair das mail-addon-Script.
>
> Bleiben die Stammzertifikate, die IMHO auch Thunderbird nicht im Fehlerfall
> holt. IMHO enthält Thunderbird selbst eine Sammlung von Stammzertifikaten
> vor, die jemand vom Thunderbird-Team pflegen wird. Oder es werden die im BS
> integrierten Stammzertifikate benutzt. Aber auch die muss jemand pflegen.
>
> 2. Mailserver
>
> Schon aus Sicherheitsgründen ist es für Mailserver nicht üblich, einen
> Zertifikatsfehler automatisch aufzulösen; was ist mit einer
> Man-in-the-Middle Attacke?
>
> Dann landet ein gefaktes Zertifikat auf dem System; daher gibt es hier
> durchaus eisfair-User, die die Funktionalität von mail-addon-certs bewußt
> nicht einsetzen.
>
> Mailserverprogramme sind also durchaus kritischer, als es Mailclients sind.
>
> Die Frage wäre nicht, warum eisfair keine "unkritische" Automatik, die auch
> nur das Serverzertifikat aber nicht die Stammzertifikate umfasst hat,
> sondern warum dies die Programme exim (smtp) und fetchmail (pop) nicht tun.
>
> Der wesentliche Grund ist die Sicherheit; wenn es Unstimmigkeiten in einer
> Mailverbindung gibt, wird diese aus Sicherheitsgründen abgebrochen.
>
Ok Markus, vielen Dank für die Erklärung, jetzt hab ich es "gefressen".
Dass es mir nicht gefällt und ich es gern umgehen würde, steht auf einem
anderen Blatt... ;-)
Grüße
Dirk
Mehr Informationen über die Mailingliste Eisfair