dovecot: imap-login // SSL_get_servername

Nico Funke nico.funke at spun-industries.de
So Sep 8 22:29:06 CEST 2024 

    Hallo zusammen,

    ich danke euch vielmals für eure Hilfe.

    In meiner .pem Version waren die Key's doppelt hinterlegt.
    Deine hat funktioniert, Markus.

    Jedoch jetzt sofort ein Disconnect.
    Wie dem auch sei, das Zertifikat ist in Eile entstanden, wobei ich
    nicht den Punkt mit dem zusätzlichen SNA nicht beachtet habe.

    Ich werde mir Zeit nehmen und ein neues organisieren welches
    entsprechende Voraussetzungen hat und mir das mit Ruhe ansehen.
    Ich kann mich nur bedanken, dass ihr euch die Mühe gemacht habt, mir
    bei meiner Unwissenheit zu helfen.

    Und sry für die Anonymisierung. Ich wollte es einfach so Anonym wie
    möglich halten.
    Hat jedoch definitiv nichts mit euch zu tun.

    Danke nochmals.


    Best,

Am 08.09.24 um 11:47 schrieb Markus Winkler via Postfixbuch-users:
> Hallo Nico,
>
> On 08.09.24 00:28, Nico Funke via Postfixbuch-users wrote:
>>
>>     ich schreib dir mal so damit der Kreis etwas kleiner ist.
>
> da Du es (wahrscheinlich unbeabsichtigt) doch an die Liste geschickt 
> hattest, antworte ich Dir auch mal hier. ;-)
>
>>     Die Domain heißt anarchydica.net und ist soweit nicht geheimnisvoll,
>>     nur soll die Konfiguration so weit wie möglich unbekannt bleiben.
>>     Ich gehe zwar nicht davon aus, dass es jemand was nützt. Aber man 
>> weiß
>>     ja nie. Auch leider nie wer still mitliest.
>
> Deine Infos sind völlig unkritisch. Die Kiste steht frei zugänglich im 
> Netz. Wenn da jemand was im Schilde führen sollte, benötigt er die 
> paar Details hier nicht. ;-)
>
>> echo QUIT | openssl s_client -connect mail.anarchydica.net:993
>>     CONNECTED(00000003)
>>     depth=0 CN = anarchydica.net
>>     verify error:num=20:unable to get local issuer certificate
>>     verify return:1
>>     depth=0 CN = anarchydica.net
>>     verify error:num=21:unable to verify the first certificate
>>     verify return:1
>>     depth=0 CN = anarchydica.net
>>     verify return:1
>
> Wie Alexander schon schrieb: Dein Server schickt nach wie vor das 
> Intermediate-Cert nicht mit. Und dadurch kann Dein Thunderbird das 
> Server-Cert nicht verifizieren.
>
> Möglicherweise hast Du beim Erstellen der Datei 
> /etc/ssl/folder/foo.pem etwas falsch gemacht oder die cabundle-Datei 
> ist nicht korrekt (was ich mir aber fast nicht vorstellen kann).
>
> Ich habe Dir mal die Datei für Dovecot erstellt und angehängt. Binde 
> die bitte so ein (den Dateiname kannst Du natürlich anpassen):
>
> ssl_cert = </etc/ssl/folder/nico.pem
>
>
> Aber auch der zweite, schon mehrfach angesprochene Punkt ist wichtig: 
> Du hattest den openssl-Test mit 'mail.anarchydica.net' ausgeführt. Da 
> das Cert diesen Hostname nicht als SAN enthält, wird Thunderbird auch 
> an dieser Stelle meckern (selbst wenn die Chain jetzt komplett ist).
>
> Du hast zwei Möglichkeiten, dieses Problem zu lösen:
>
> (1) Trage als Servername in Thunderbird statt 'mail.anarchydica.net' 
> nun 'anarchydica.net' ein.
>
> 'www.anarchydica.net' steht zwar ebenfalls als SAN im Cert und wäre 
> damit theoretisch auch möglich, aber:
>
> $ host www.anarchydica.net
> Host www.anarchydica.net not found: 3(NXDOMAIN)
>
>
> (2) Besorge Dir ein Zertifikat (von LE wäre es ja sogar kostenlos), 
> bei dem (u. a.) 'mail.anarchydica.net' als SAN enthalten ist. Dann, 
> und nur dann, kannst Du in Thunderbird 'mail.anarchydica.net' als 
> Servername verwenden.
>
> (Nebenbei: Da Du als MX für diese Domain 'mail.anarchydica.net' 
> eingetragen hast, wäre (2) vielleicht der elegantere Weg, da Du es 
> dann auch für Postfix nutzen kannst und auch dort gleich alles passen 
> sollte.)
>
> Viele Grüße
> Markus

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240908/21294ef4/attachment.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : OpenPGP_0x4D3C97B6BADFB93E.asc
Dateityp    : application/pgp-keys
Dateigröße  : 3927 bytes
Beschreibung: OpenPGP public key
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240908/21294ef4/attachment.skr>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : OpenPGP_signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 840 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240908/21294ef4/attachment.asc>

Mehr Informationen über die Mailingliste Postfixbuch-users