[Eisfair] Fetchmail Meldung, die zweite

Marcus Roeckrath marcus.roeckrath at gmx.de
Fr Mai 16 12:26:08 CEST 2014 

Hallo,

Marcus Roeckrath wrote:

> Ich habe eine Idee, wie man den von 1und1 gewünschten Verzicht auf die
> Fingerprint-Prüfung gegen ein bestimmtes Serverzertifikat realisieren
> könnte.
> 
> Löscht bitte mal versuchsweise die komplette Fingerprintzeile für die
> betroffenen Server aus der Datei /etc/fetchmail.conf raus; die anderen
> ssl-Zeilen müssen aber natürlich gesetzt bleiben.
> 
> mail-addon-certs fasst keine Server in der Mail-Konfiguration an, für die
> kein Fingerprint gesetzt ist.

Falls sich obige Problemlösung als richtig erweist, kann mail-addon-certs
keine automatische Zertifikatserneuerung für diese Server mehr bieten:

1. Es wird nur noch ein allgemeiner SSL-Fehler bei Zertifikatswechsel
gemeldet und auch per Mail an den Postmaster gemeldet.

2. Da es mehrere Zertifikate für einen Server gibt, aber es beim
Zertifikatsabruf völlig zufällig ist, welches der Zertifikate (welchen
Mailserver) man erhält, kann nicht festgestellt werden, welches der
Serverzertifikate nun zu ersetzen ist.

3. Die verschiedenen Serverzertifikate beziehen sich auf den gleichen
Servernamen und bestimmen damit den lokalen Dateinamen des Zertifikats.

Für den Anwender ist gerade der Punkt 2 aber auch ein Problem, da man beim
Zertifikatsabruf mittels openssl nicht den (nachgeschalteten) Mailserver
erzwingen kann, der das gewünschte (neue) Zertifikat bereithält.

Kann sein, dass habe ich noch nicht geprüft, dass in einer solchen
Konfiguration (fetchmail ssl-Mailbruf ohne Fingerprint) das eigentliche
Serverzertifikat garnicht vorliegen muss, weil nur noch die Kette des vom
Server während des Handshakes übermittelten Zertifikats geprüft wird.

Falls meine Konfigurationsänderung (Löschen der sslfingerprint-Zeile in
fetchmail.conf) bei Euch mit 1und1 funktioniert, bitte ich Euch mal das
pop.1und1.de.pem (oder pop.kundenserver.de.pem) Zertifikat aus dem
certs-Verzeichnis wegzumoven und dann zu rehashen.

/usr/bin/ssl/c_rehash /usr/local/ssl/certs

Danach bitte mal die Mailservices restarten

/etc/init.d/mail restart

und im Fetchmail-Log (var/log/fetchmail.log) schauen, ob sich
ssl-Fehlermeldungen finden lassen.

-- 
Gruss Marcus

Mehr Informationen über die Mailingliste Eisfair