[Eisfair] fetchmail Problem mit 1und1 - Broken Certificate Chain

[Marcus Roeckrath]

Hallo Alex,

Alex Busam wrote:

> sorry, ich komm nicht ganz mit bezüglich der Lokalisation des Problems.
> Ich erhalte seit vorgestern die Meldung:
> fetchmail: awakened at Mon, 29 Oct 2018 11:58:28 (CET)
> fetchmail: pop.1und1.de fingerprints do not match!

Ich glaube, 1und1 tauscht gerade mal wieder Zertifikate aus. Nach bisheriger
Erfahrung kann sich das schonmal eine Weile hinziehen.

> Der Fingerprint ...wird der nicht automatisch eingetragen bzw.
> aktualisiert falls notwendig?

Nein, dazu müsstest du das mail-addon-certs installieren, was Verfechter von
sinnvoler Zertifikatsprüfung durchaus kritisch sehen, da hierbei kein
Prüfung erfolgt.

Wenn allerdings 1und1 mal wieder Tage braucht, um das komplett
durchzuziehen, wirst du mit ständig wechselnden Zertifikaten beglückt, die
zu wechselnden Fingerprint führen.

Möglicher Ausweg:

In der fetchmail-Sektion keine Fingerprints eintragen. fetchmail akzeptiert
dann das während der Session übermittelte Zdertfikat, sofern die Ketten
übeprüft werden kann, also Root- und Zwischenzertifikate vorhanden sind.

Für smtp keine Zertifikate des entfernten Mailservers auf dem eigenen Server
hinterlegen, sondern wiederum nur die zur ÜPrüfung erforderlichen Zwischen-
und Rootzertifikate.

-- 
Gruss Marcus