[Eisfair] Fetchmail Meldung, die zweite

[Marcus Roeckrath]

Hallo Carsten,

Carsten Lippert wrote:

>>> ist das nun ein Workaround oder warten wir noch ab?
>> 
>> Zunächst ein Test; da dieser erfogreich war, kannst Du in der nächsten
>> mail-Version einfach die Fingerprints der betroffenen Server in der
>> mail-Konfiguration löschen.
> 
> wenn ich das richtig verstanden habe, ist das aber nur ein Notbehelf und
> entspricht nicht der Norm. Da sich aber 1&1 nicht bewegt, greift man zu
> solchen Mitteln? Die werden uns doch damit nicht ein Zertifikat von
> einer Stelle unterschieben, das wir nicht mögen?

Es könnte sogar so sein, dass Thunderbird immer so arbeitet, also die Kette
des angebotenen Zertifikats prüft, ohne den Fingerprint des
Serverzertifikats selbst zu prüfen - darauf könnten Hinweise im Internet
hinweisen.

Man gibt an dieser Stelle damit einen Baustein der Sicherheit auf.

Und warum 1und1 darauf besteht, auf scheinbar genau einem Server (mieue101)
ein anderes Zertifikat zu nutzen, erschliesst sich mir nicht.

Alexander schrieb gestern im internen Mailbereich des Teams, dass die
automatische Aktualisierung des Fingerprints durch mail-addon-certs an
dieser Stelle auch schon diesen Prüfschritt ad absurdum führt.

Wenn bewusst ein falsches Zertifikat rüberkommt, wird auch der
Zertifikatsabruf ein falsches Zertifikat liefern und dieses dann in die
Konfiguration eintragen.

Also kritisch sollte man das Ganze nicht sehen.

Ich warte noch darauf, was die c't antworten wird.

Sowohl 1und1 als auch der c't habe ich heute ergänzend eine Mail
geschrieben, die den fetchmail Workaround beschreibt.

Dass fetchmail eine solche Konfigurationsmöglichkeit enthält, zeigt aber,
dass solche nicht unbedingt abwegig ist.

-- 
Gruss Marcus