[Eisfair] Certs Update fc3bcr mehrere Fetchmail Domc3a4nen

[Marcus Röckrath]

Hallo Jens,

Jens Kluge wrote:

> Soweit ich es verstanden habe, wird für SSL Verbindungen von Fetchmail,
> um Mails von verschiedenen externen Domänen abzuholen, jeweils eine
> akutelles Zertifikat benötigt.

Jeder entfernte Mailserver hat natürlich sein eigenes Zertifikat, ist ja so
eine Art Perso.

> Bisher hatte ich nur eine Domäne benutzt (ionos) und somit erfolgte der
> Download über den smtp Uddate bei Verwendung von Smarthost, was
> ebenfalls für pop verwendet wurde.
> 
> Wegen Providerwechsel benutze ich jetzt jedoch Postfächer, die von
> verschiedenen Providern (ionos, telekom, etc.) gehostet werden, d.h. ich
> benötige verschiedene Zertifikate für das Abholen von Mails von den
> verschiedenen Providern.
> 
> Der Zertifikate, welche für die Fetchmail Domänen benötigt werden, habe
> ich jetzt erstmal manuel downgeloaded und installiert.

Gut.

Du hast sie nur downgeloadet und installiert oder auch deren Fingerprints in
der Mailkonfiguration eingetragen?

Wenn letzteres nicht, dann hättest du dir auch den Download und die
Installation sparen können.

Wenn du auf einem Client im Browser gesicherte Seiten ansurfst, besorgst du
dir ja auch nicht erst dessen Zertifikat, sondern dein Browser bekommt auf
Anfrage das Zertifikat und prüft anhand von Rootzertifikaten die Gültigkeit
des Zertifikates.

Wichtig ist also, dass die Rootzertifikate vorhanden sind!

Gleiches gilt für Fetchmail. Beim Mailabruf sendet der entfernte Server sein
Zertifikat und es wird geprüft, ob es gültig ist.

Wenn du das Serverzertifikat installierst, kommt Stufe 2 ins Spielt. In die
Mailkonfiguration kann der Fingerprint eingetragen werden und es wird dann
zusätzlich geprüft, ob das übertagene Zertifikat den gleichen Fingerprint
hat.

Dies ist keine Voraussetzung für die gesicherte Mailabfrage und ein Client
wie TB benutzt diese Zusatzstufe auch nicht.

Das Addon mail-addon-certs kann die Serverzertifikate automatisiert updaten,
wenn du diese 2. Stufe nutzt. Bedenke dabei immer, dass der Download und
Installation eines Zertifikates eine genaue Prüfung des Zertifikates
erfordert, damit dir nichts Falsches untergeschoben wird, was das Skript
nicht leisten kann.

> Mein Frage ist, eisfair die Zertifkate für die verschiedenen Domänen,
> die in Fetchmail angegeben werden, automatisch updated?

s. o.; für die Zertifikate der entfernten Mailserver ja, für Root- oder
Zwischenzertifikate nein.

-- 
Gruß Marcus
[eisfair-Team]