[Eisfair] mail & Cert mail-manager Zertifikat anzeigen

[Kay Martinen]

Am 22.07.20 um 22:21 schrieb Marcus Röckrath:
> 
> Kay Martinen wrote:
> 
>>>> rufen? Ich hab die bisher nicht eingerichtet und CA_HOME auf NO.
>>>
>>> Client-PC zum eis mittels pop3/imap oder Eis zum externen Mailprovider?
>>
>> Öhm, später: Beides. Die Idee ist den; da er direkt am WAN-Router hängt;
>> ggf. auch mal von extern zugreifbar zu machen.
> 
> Da ist dann der eis in der Serverrolle und braucht damit auch ein
> Zertifikat. Für den Zugriff von extern bietet sich letsencrypt an, da ein
> solches Zertifikat jeder Client unmittelbar, weil von einer bekannen CA
> unterzeichnet, prüfen kann.

LetsEncrypt aber nur wenn Zugriffe von Außen NICHT per VPN liefen, denn
dann ist der Client ja im "Internen Netz" wenn ich dich unten richtig
verstehe.

> Um ein solches letsencrypt-Zertifikat auch im internen LAN zu nutzen, muss
> auch aus dem internen LAN der Zugriff über die externe Adresse, also nicht
> über eine lokale IP, erfolgen. Damit die Verwendung der externen Domain den
> Traffik dennoch im internen LAN hält, müsste man im internen DNS dafür
> sorgen, dass solche Anfragen direkt an den Server im internen Netz
> umgeleitet werden.

Das klingt komplizierter, nach Umweg und für mich nicht machbar. Ich hab
ja einmal den WAN-Router, das Zwischennetz in dem dieser Server liegt
und den internen Router der nach außen hin eh NAT macht. Wenn ich aber
überlege das ich mit einer QuellIP von z.b. 192.168.1.10 die durch NAT
auf 192.168.2.2 übersetzt wird den EIS unter 192.168.2.100 nicht
ansprechen sollte, sondern dies evtl. über eine "externe" IP (Welche?
Die WAN-IP des WAN-Routers?) ansprechen soll dann weiß ich nicht wie ich
das umsetzen sollte. Ein portforward der das vom Router wieder zurück
schmettert zum EIS erscheint mir unsinnig und das einzige was ich machen
kann ist meinem internen DNS die IP des EIS im Zwischennetz übersetzen
zu lassen (A und Rev) aber ...???

> letsencrypt-Zertifikate werden nicht auf IPs ausgestellt!

Dann würde ich die VPN-Lösung präferieren. Da der Tunnel eh schon
verschlüsselt könnte ich den VPN-Server auch auf dem EIS einrichten.
Dann bräuchte ich auch keine CA weil imap da dann auch unverschlüsselt
durch laufen kann. Scheint mir einfacher weil ich dann doch auch alles
auf die IPs des VPN Limitieren könnte. Und des Lokalen Netzes.

> Klar, aber dafür braucht man kein lokales Zertifikat; bei diesem Vorgang
> wird das Zertifikat des externen Mailproviders (also z. B. gmx) auf dem eis
> beim Connect geprüft.

Also keine CA bei fetchmail-abruf nötig.

> s. o. Hierfür bräuchte der eis ein Zertifikat, wenn das verschlüsselt
> geschehen soll. (*)

Also keine CA wenn imap unverschlüsselt bleiben kann.

>> Und evtl. auch per vpn
> 
> Per VPN ist man im Netz.

Mit eigenem IP-Segment. Damit kann man dann auf diese IP limitieren um
andere Zugriffe aus zu sperren.

>> oder über dyndns und portforwards direkt über das Internet.
> 
> siehe (*)

>>  Naja. Clients aus dem Internen LAN könnten den meinetwegen auch ohne
>> TLS an sprechen.
> 
> Mache ich auch so.

Ja, ich finde das reicht auch so.

> Bei VPN liegt eine Verschlüsselung auf Paketebene vor, da kann der
> Mailzugriff auch unverschlüsselt sein, wenn der durch den VPN-Tunnel geht.

*Zustimm*

> Bei einem sonstigen Zugriff über das Internet wäre die Verschlüsselung
> ratsam.

Internet: *Böse* Nicht mit Füßen ins Wasser, Haie! :-/ Eine Schande das!

>  Hast du
> schon jemals gehört, das ein normaler TB-Anwender zum Abruf der Mails beim
> Provider sich um ein eigene Zertifikat samt CA kümmern müsste?

Nee, aber TB machte das neulich fast automatisch. Zeigt ein neues
Zertifikat an weil das alte ablief und es dauerte ein paar Mausklicks
bis es wieder lief. Das Iphone meiner Schwester und Mutter ist dagegen
deutlich weniger Kooperativ! Die benutzen das für ihre Mail, ich nicht
weil ich TB lokal vorziehe. Und weil ich keinen Datentarif habe. Finde
ich zu teuer.

> Falsch; um das angebotene Serverzertifkat z. B. von gmx prüfen zu können,
> muss das Root-Zertifikat auf dem System vorhanden sein, nicht das
> gmx-Zertifikat.

Dann brauche ich das Zertifikats-bundle (wg. Root-CAs) oder nur die von
meinen Providern?

> Nochmal: Der eis braucht ein Zertifikat, wenn er selbst als Server einen
> Dienst anbietet! Beim Datenaustausch mit deinem Mailprovider ist der eis in
> beide Richtungen der Client!
> 
> Gegenüber deinen lokalen Client-PCs wäre der eis allerdings in der
> Serverrolle, so dass hier für eine verschlüsselte Verbindung zwischen eis
> und lokalen Client ein Zertifikat gebraucht wird.

Mir fällt eben etwas auf was die Idee mit dem EIS in dem Zwischennetz
ad-absurdum führte. Mein ipfire (Zwischen-router) hat eh ein VPN an
bord. Kann ich im Prinzip auch dort auf setzen und muß das VPN Netz nur
nach innen durch lassen zu einem Mailserver der im Internen Netz liegen
kann. Dann kommen zugriffe entweder vom internen oder vom Transfernetz
des VPN und fetchmail oder Smarthost-Verbindungen werden dann eh durch
das NAT zum Provider geschickt. Bin nicht sicher aber das klingt fast
noch einfacher aber Besser/Sicherer? Bei IMAP ohne TLS aber nur Intern
oder durch VPN?

Ja, ich meide diese CA Sachen wenn es geht. Ich werde auch nur älter. :-/

Kay

-- 
Posted via leafnode