<!DOCTYPE html>

<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <blockquote><font face="Linux Biolinum">Hallo zusammen,<br>

        <br>

        ich danke euch vielmals für eure Hilfe.<br>

        <br>

        In meiner .pem Version waren die Key's doppelt hinterlegt.<br>

        Deine hat funktioniert, Markus.<br>

        <br>

        Jedoch jetzt sofort ein Disconnect.<br>

        Wie dem auch sei, das Zertifikat ist in Eile entstanden, wobei

        ich nicht den Punkt mit dem zusätzlichen SNA nicht beachtet

        habe.<br>

        <br>

        Ich werde mir Zeit nehmen und ein neues organisieren welches

        entsprechende Voraussetzungen hat und mir das mit Ruhe ansehen.<br>

        Ich kann mich nur bedanken, dass ihr euch die Mühe gemacht habt,

        mir bei meiner Unwissenheit zu helfen.<br>

        <br>

        Und sry für die Anonymisierung. Ich wollte es einfach so Anonym

        wie möglich halten.<br>

        Hat jedoch definitiv nichts mit euch zu tun.<br>

        <br>

        Danke nochmals.<br>

        <br>

        <br>

        Best,<br>

        <br>

      </font></blockquote>

    <div class="moz-cite-prefix">Am 08.09.24 um 11:47 schrieb Markus

      Winkler via Postfixbuch-users:<br>

    </div>

    <blockquote type="cite"

      cite="mid:2568ef3c-014c-450f-892c-59dce9150056@irmawi.de">Hallo

      Nico,

      <br>

      <br>

      On 08.09.24 00:28, Nico Funke via Postfixbuch-users wrote:

      <br>

      <blockquote type="cite">

        <br>

            ich schreib dir mal so damit der Kreis etwas kleiner ist.

        <br>

      </blockquote>

      <br>

      da Du es (wahrscheinlich unbeabsichtigt) doch an die Liste

      geschickt hattest, antworte ich Dir auch mal hier. ;-)

      <br>

      <br>

      <blockquote type="cite">    Die Domain heißt anarchydica.net und

        ist soweit nicht geheimnisvoll,

        <br>

            nur soll die Konfiguration so weit wie möglich unbekannt

        bleiben.

        <br>

            Ich gehe zwar nicht davon aus, dass es jemand was nützt.

        Aber man weiß

        <br>

            ja nie. Auch leider nie wer still mitliest.

        <br>

      </blockquote>

      <br>

      Deine Infos sind völlig unkritisch. Die Kiste steht frei

      zugänglich im Netz. Wenn da jemand was im Schilde führen sollte,

      benötigt er die paar Details hier nicht. ;-)

      <br>

      <br>

      <blockquote type="cite">echo QUIT | openssl s_client -connect

        mail.anarchydica.net:993

        <br>

            CONNECTED(00000003)

        <br>

            depth=0 CN = anarchydica.net

        <br>

            verify error:num=20:unable to get local issuer certificate

        <br>

            verify return:1

        <br>

            depth=0 CN = anarchydica.net

        <br>

            verify error:num=21:unable to verify the first certificate

        <br>

            verify return:1

        <br>

            depth=0 CN = anarchydica.net

        <br>

            verify return:1

        <br>

      </blockquote>

      <br>

      Wie Alexander schon schrieb: Dein Server schickt nach wie vor das

      Intermediate-Cert nicht mit. Und dadurch kann Dein Thunderbird das

      Server-Cert nicht verifizieren.

      <br>

      <br>

      Möglicherweise hast Du beim Erstellen der Datei

      /etc/ssl/folder/foo.pem etwas falsch gemacht oder die

      cabundle-Datei ist nicht korrekt (was ich mir aber fast nicht

      vorstellen kann).

      <br>

      <br>

      Ich habe Dir mal die Datei für Dovecot erstellt und angehängt.

      Binde die bitte so ein (den Dateiname kannst Du natürlich

      anpassen):

      <br>

      <br>

      ssl_cert = </etc/ssl/folder/nico.pem

      <br>

      <br>

      <br>

      Aber auch der zweite, schon mehrfach angesprochene Punkt ist

      wichtig: Du hattest den openssl-Test mit 'mail.anarchydica.net'

      ausgeführt. Da das Cert diesen Hostname nicht als SAN enthält,

      wird Thunderbird auch an dieser Stelle meckern (selbst wenn die

      Chain jetzt komplett ist).

      <br>

      <br>

      Du hast zwei Möglichkeiten, dieses Problem zu lösen:

      <br>

      <br>

      (1) Trage als Servername in Thunderbird statt

      'mail.anarchydica.net' nun 'anarchydica.net' ein.

      <br>

      <br>

      '<a class="moz-txt-link-abbreviated" href="http://www.anarchydica.net">www.anarchydica.net</a>' steht zwar ebenfalls als SAN im Cert und

      wäre damit theoretisch auch möglich, aber:

      <br>

      <br>

      $ host <a class="moz-txt-link-abbreviated" href="http://www.anarchydica.net">www.anarchydica.net</a>

      <br>

      Host <a class="moz-txt-link-abbreviated" href="http://www.anarchydica.net">www.anarchydica.net</a> not found: 3(NXDOMAIN)

      <br>

      <br>

      <br>

      (2) Besorge Dir ein Zertifikat (von LE wäre es ja sogar

      kostenlos), bei dem (u. a.) 'mail.anarchydica.net' als SAN

      enthalten ist. Dann, und nur dann, kannst Du in Thunderbird

      'mail.anarchydica.net' als Servername verwenden.

      <br>

      <br>

      (Nebenbei: Da Du als MX für diese Domain 'mail.anarchydica.net'

      eingetragen hast, wäre (2) vielleicht der elegantere Weg, da Du es

      dann auch für Postfix nutzen kannst und auch dort gleich alles

      passen sollte.)

      <br>

      <br>

      Viele Grüße

      <br>

      Markus

      <br>

    </blockquote>

    <br>

  </body>

</html>