[Eisfair] Fetchmail Meldung, die zweite

Marcus Roeckrath marcus.roeckrath at gmx.de
So Mai 4 20:58:02 CEST 2014 

Hallo Jupp,

Jupp Kasulke wrote:

> Bei username1 und username3 hat der fetch geklappt, bei username2 nicht.
> Die Tatsache, daß der zweite User auf eine andere IP zugreift, scheint
> aber nicht das Problem zu sein, da ich in anderen Logfiles auch bei
> Aufrufen von 212.227.15.178 einen korrekten fingerprint bekommen habe
> und mails abrufen konnte.

Das Problem tritt auf beiden Mailserver-IPs auf.

> Der Zahl im string "mieue020" ändert sich von Aufruf zu Aufruf, ich habe
> da schon Zahlen von 003 bis 119 gesehen.

Das scheinen dann virtuelle Mailserver auf den beiden physischen
Maschinen .162 und .178 zu sein.

> Anmerkung: ich sehe gerade, daß bei den korrekten Aufrufen das kommt:
>> fetchmail: Certificate chain, from root to peer, starting at depth 2:
> 
> aber bei dem mißglückten dieses:
>> fetchmail: Certificate chain, from root to peer, starting at depth 3:
> 
> Andere Tiefe ...

Dass bedeutet nur, dass der eine Key mit zwei Zertifikaten, der andere mit 3
Zertifikaten in der Zertifikatskette signiert ist.

>> fetchmail: pop.1und1.de key fingerprint:
>> 3C:0B:BD:58:A2:75:EB:50:F3:95:D7:DC:7D:DC:C2:C0 fetchmail: pop.1und1.de

Das ist auch der MD5-Fingerprint des Zertifikates, das man beim
Zertifikatsdownload erhält.

>> fetchmail: Certificate chain, from root
>> to peer, starting at depth 3: fetchmail: Issuer Organization: Thawte
>> Consulting cc fetchmail: Issuer CommonName: Thawte Premium Server CA
>> fetchmail: Subject CommonName: Thawte Premium Server CA
>> fetchmail: Certificate at depth 2:
>> fetchmail: Issuer Organization: Thawte Consulting cc
>> fetchmail: Issuer CommonName: Thawte Premium Server CA
>> fetchmail: Subject CommonName: thawte Primary Root CA
>> fetchmail: Certificate at depth 1:
>> fetchmail: Issuer Organization: thawte, Inc.
>> fetchmail: Issuer CommonName: thawte Primary Root CA
>> fetchmail: Subject CommonName: Thawte SSL CA
>> fetchmail: Server certificate:
>> fetchmail: Issuer Organization: Thawte, Inc.
>> fetchmail: Issuer CommonName: Thawte SSL CA
>> fetchmail: Subject CommonName: pop.1und1.de
>> fetchmail: Subject Alternative Name: pop.1und1.de
>> fetchmail: pop.1und1.de key fingerprint:
>> DA:6B:7B:49:97:A7:59:4A:32:97:EE:01:B8:95:B2:9C
>> fetchmail: pop.1und1.de fingerprints do not match!

Anderes Zertifikat, anderer Fingerprint.

Die andere Zertifikat ist von Thawte signiertund nicht von der Telekom.

Deshalb halte ich dieses Zertifikat für falsch, weil die deutschen Provider
eigentlich zuletzt weg von ausländischen Zertifizierungsstellen gegangen
sind.

Mit den von Dir ermittelten Infos würde ich mal die 1und1-Hotline
konfrontieren.

1. Mailserver IPs nennen mit Hinweis, dass das Problem auf beiden auftritt

2. MD5-Fingerprint des funktionierenden Zertifikats nennen; sagen, dass der
Zertifikatsdownload ein Zertifikat ausliefert, der ebenso diesen
MD5-Fingerprint hat und dass das Zertifikat von der Telekom signiert ist.

3. MD5-Fingerprint des nicht funktionierenden Zertifikats nennen und das
dieses Zertifikat von Thawte signiert ist.

4. Darauf hinweisen, dass es sich um MD5-Fingerprints und nicht um
SHA1-Fingerprints handelt.

Die Hotliner (Callcenter) sollen das genauso weiterleiten, weil man an die
echten Techniker selbst wohl kaum rankommt.

-- 
Gruss Marcus

Mehr Informationen über die Mailingliste Eisfair