[Eisfair] mail-addon-certs: Fingerprints werden nicht eingetragen

Marcus Roeckrath marcus.roeckrath at gmx.de
Fr Feb 26 22:03:45 CET 2016 

Hallo Andreas,

Andreas Schmied wrote:

>> Deshalb jetzt hier zum Thema Fingerprints-Aktualisierung für fetchmail:
>> 
>> Das mail-addon-certs aktualisiert nur dann Fingerprints in den
>> fetchmail-Sektionen der Mail-Konfiguration, wenn schon ein Fingerprint
>> vorhanden ist.
>> 
>> Wie in der Doku zum mail-addon-certs-Paket beschrieben:
> 
> Asche auf mein Haupt!
> Bei den vielen Baustellen momentan bin ich nicht auf die Idee gekommen
> da nach zu schauen. Fetchmail lief ja, fiel mir nur auf.

Macht ja nichts.

Es gibt auch einen Grund dafür, dass ich leere Fingerprints in der
fetchmail-Konfiguration nicht einfach auffülle.

Ist SSL für Fetchmail aktiviert, aber kein Fingerprint eingetragen, wird das
vom Mailprovider übermittelte Zertifikat nicht geprüft und so akzeptiert.

Ist ein Fingerprint angegeben, wird das übermittelte Zertifikat gegen den
Fingerprint gecheckt und bei Missmatch die Verbindung aus
Sicherheitsgründen abgebrochen.

Letzteres möchte man natürlich aus Sicherheitserwägungen haben.

Es gibt aber Umstände, das Prüfen des Fingerprint beim Verbindungsaufbau
ausnahmsweise und zeitlich begrenzt zu unterlassen.

Wir hatten in den letzten 2 Jahren mehrfach mit bestimmten Providern das
tolle Erlebniss, dass diese Zertifikate ausgetauscht haben; allerdings
schafften sie es dann, dass einige Mailserver noch das alte andere hingegen
schon das neue Zertifikat auslieferten.

Das läuft dann darauf hinaus, dass bei fast jeder Einwahl ein anderes
Zertifikat (alt oder neu) benutzt wurde, mit der Folge ständiger
Missmatches.

Die Telekom war auf meine Intervention sogar zunächst der Meinung, es wäre
kein Problem mit mehreren verschiedenen Zertifikaten parallel zu arbeiten.
Denn Unsinn haben sie dann nach mehreren Mails meinerseits eingesehen.

Um in einem solchen Fall überhaupt noch Mails empfangen zu können, hat man
nun noch die Möglichkeit - zeitlich begrenzt natürlich - den Fingerprint zu
leeren.

Deshalb setze ich keine Fingerprints, die bislang leer sind, da ich dann die
Notlösung verbaue.

>> Ich vermute, die FINGERPRINT ist bei Dir leer!
> 
> so isses!

Dachte ich mir.

> Danke!

Bitte.

-- 
Gruss Marcus

Mehr Informationen über die Mailingliste Eisfair