[Eisfair] mail & Cert mail-manager Zertifikat anzeigen

[Marcus Röckrath]

Hallo Kay,

Kay Martinen wrote:

>>> Brauche ich eine CA auf dem EIS um TLS-Verschlüsselt (IMAP) Mail ab zu
>>> rufen? Ich hab die bisher nicht eingerichtet und CA_HOME auf NO.
>> 
>> Um welche Verbindung geht es:
>> 
>> Client-PC zum eis mittels pop3/imap oder Eis zum externen Mailprovider?
> 
> Öhm, später: Beides. Die Idee ist den; da er direkt am WAN-Router hängt;
> ggf. auch mal von extern zugreifbar zu machen.

Da ist dann der eis in der Serverrolle und braucht damit auch ein
Zertifikat. Für den Zugriff von extern bietet sich letsencrypt an, da ein
solches Zertifikat jeder Client unmittelbar, weil von einer bekannen CA
unterzeichnet, prüfen kann.

Um ein solches letsencrypt-Zertifikat auch im internen LAN zu nutzen, muss
auch aus dem internen LAN der Zugriff über die externe Adresse, also nicht
über eine lokale IP, erfolgen. Damit die Verwendung der externen Domain den
Traffik dennoch im internen LAN hält, müsste man im internen DNS dafür
sorgen, dass solche Anfragen direkt an den Server im internen Netz
umgeleitet werden.

letsencrypt-Zertifikate werden nicht auf IPs ausgestellt!

> Heißt: Der soll bei 
> verschiedenen Providern mit Fetchmail per pop abholen,

Klar, aber dafür braucht man kein lokales Zertifikat; bei diesem Vorgang
wird das Zertifikat des externen Mailproviders (also z. B. gmx) auf dem eis
beim Connect geprüft.

> an localhost 
> einwerfen und clients aus dem Internen Netz (mit anderem IP-Netz) sollen
> per imap drauf zu greifen können.

s. o. Hierfür bräuchte der eis ein Zertifikat, wenn das verschlüsselt
geschehen soll. (*)

> Und evtl. auch per vpn

Per VPN ist man im Netz.

> oder über dyndns und portforwards direkt über das Internet.

siehe (*)

>> Falls ersteres gemeint ist, bräuchtest du ein Serverzertifikat und auch
>> ein CA, welche das Serverzertifikat unterschreibst. Dem Client muss dann
>> das CA bekannt gemacht werden, damit das Serverzertifikat vom Client
>> geprüft werden kann.
>  Naja. Clients aus dem Internen LAN könnten den meinetwegen auch ohne
> TLS an sprechen.

Mache ich auch so.

> Aber wenn ich wie o.g. via vpn oder direktem Zugriff 
> vom internet aus zugreifen wollte dann sollte es besser verschlüsselt
> sein.

Bei VPN liegt eine Verschlüsselung auf Paketebene vor, da kann der
Mailzugriff auch unverschlüsselt sein, wenn der durch den VPN-Tunnel geht.

Bei einem sonstigen Zugriff über das Internet wäre die Verschlüsselung
ratsam.

> Ich bin nur immer nicht sicher ob ich die CA dort nicht sowieso bräuchte
> um mit fetchmail post ab zu holen.

Nein, für diesen Vorgang braucht der eis weder CA noch Zertifikat. Hast du
schon jemals gehört, das ein normaler TB-Anwender zum Abruf der Mails beim
Provider sich um ein eigene Zertifikat samt CA kümmern müsste?

Zertifikate werden für Serverdienste gebraucht - Clients (z. B. TB,
fetchmail, ...) prüfen das Serverzertifikat.

> Bei den meisten Provider wird das 
> wohl auch nur per TLS laufen und da muß ich doch wieder ein Zertifikat
> des externen mailservers vom provider importieren.

Falsch; um das angebotene Serverzertifkat z. B. von gmx prüfen zu können,
muss das Root-Zertifikat auf dem System vorhanden sein, nicht das
gmx-Zertifikat.

> Und wenn nicht dafür, 
> dann... für den Versand von Nachrichten von diesem Host an den Smarthost
> des Providers???

Nein, auch dann nicht. Das Zertifikat des Providers muss prüfbar sein, wie
bei fetchmail auch.

Nochmal: Der eis braucht ein Zertifikat, wenn er selbst als Server einen
Dienst anbietet! Beim Datenaustausch mit deinem Mailprovider ist der eis in
beide Richtungen der Client!

Gegenüber deinen lokalen Client-PCs wäre der eis allerdings in der
Serverrolle, so dass hier für eine verschlüsselte Verbindung zwischen eis
und lokalen Client ein Zertifikat gebraucht wird.

-- 
Gruß Marcus
[eisfair-Team]