[Eisfair] Mail-Paket: SMTP und Smarthost, Fehlermeldung

[Juergen Edner]

Hallo Alex,

> EHLO test.microsoft.com
> liefert:
> AUTH LOGIN PLAIN
> STARTTLS
> Daher unterstützt der kein md5 und ich kann als sicherste Variante
> "login" wählen. Leider kein md5. Bei md5 würde das Kennwort nie übers
> netz gehen. Richtig?

korrekt, aber wie schon geschrieben ist dies von minderer Relevanz, da
ja eine sichere Basisverbindung verwendet wird.

> Die Frage mit dem Port für den SMTP war im Hinblick auf die
> Verschlüsselung gemeint. SSMTP ist jetzt aus. ok, SSL, alt und unsicher.
> (Braucht man das noch im Paket oder sollte man den Parameter
> rausschmeissen....?) Aber ist smtp auf Port 25 immer unverschlüsselt?
> Ist smtp auf 587 immer verschlüsselt?

Leider kann man SSMTP nicht aus dem Paket entfernen, da es z.B. von
vielen, älteren Geräten noch unterstützt wird, die kein STARTTLS kennen.

Verbindungen über Port 25/tcp sind im ersten Schritt unverschlüsselt,
jedoch kann optional die Verwendung von STARTTLS angeboten werden.
Dies ist aber nur dann sinnvoll, wenn Du ein offizielles Zertifikate
von z.B. Geotrust etc. verwendest, da Dein Zertifikat ja von der
Gegenstelle geprüft werden muss und dies kann nur dann passieren, wenn
das Root-Zertifikat auf allen anderen Servern vorhanden ist bzw. es von
einer vertrauenswürdigen Stelle ausgestellt wurde. Ein selbst signiertes
Zertifikat erfüllt diese beiden Punkte nun einmal nicht.
Falls ein Server über Port 25/tcp auch STARTTLS anbietet, kann natürlich
beim Verbindungsaufbau von einer unsicheren auf eine sichere Verbindung
umgestellt werden.
Zugriffe über Port 587/tcp unterliegen den gleichen Regeln wie die für
Port 25/tcp, nur dass dieser Port üblicherweise für interne Netzwerke
oder aber von Providern für die Entgegennahme von Kundenverbindungen
vorgegeben wurde. Auf Wikipedia findest du hier weitergehende Lektüre.

> "ein im Internet gültiges zertifikat" bedeutet, dass in Thunderbird mein
> eigenes CA importiert sein muss, mit dem mein exim.pem, der auf meine
> Dyndns-Domain.pem verlinkt ist, signiert wurde!?
> Der Aufruf der gleichen Dyndns-Domain im Brower funktioniert ohne
> Fehlermeldung, wenn ich im Firefox selbiges CA importiert hatte. Daher
> kann ich davon ausgehen, dass dies im Thunderbird oder auch unter
> Android entsprechend funktioniert!?

Dies ist korrekt. Wenn Du die Hürde des Imports auf dem entsprechenden
Gerät bzw. in der Software genommen hast, dann musst Du keine Ausnahme
mehr konfigurieren.

> Unverschlüsselte Kontaktaufnahme verhindere ich durch
> "SMTP_SERVER_TRANSPORT="tls" und eben nicht both. "SMTP_LISTEN_PORT"
> kann ich ruhig leer lassen, sodass er auf 25 und 587 weiterhin horcht.
> Richtig?

Dies ist soweit korrekt, jedoch solltest Du bedenken, dass wenn Du auch
von anderen Servern E-Mail empfangen willst, aus besagten Gründen die
generelle Deaktivierung von unsicheren Verbindungen nicht sinnvoll und
zielführend ist.

> SMTP_SMARTHOST_1_FORCE_TLS = yes sorgt auch dafür, dass mein exim immer
> verschlüsselt Kontakt zum smarthost aufnimmt!?
> Ist das ebenfalls Richtig!?

Korrekt. Im Automatikmodus würde im Fehlerfall ein Fallback auf eine
unsichere Verbindung erfolgen, was man aber üblicherweise nicht will.

Bitte keine Full Quotes und korrekt zitieren. Dein Thunderbird sollte
dies problemlos unterstützen.

[ToFu gelöscht]

Gruß Jürgen
-- 
Mail: juergen at eisfair.org