[Eisfair] SSL Mail intern einschalten

Jens Kluge jk2020 at web.de
Di Jan 28 10:23:14 CET 2014 

Hallo!

Ich verwende e1 mit mail-Paket, und lasse meine Mails von 1und1 
(puretec) Postfächern abholen bzw. nutze den smtp-Zugang von 1und1 um 
Mails zu versenden.

Auch ich habe Post bekommen: "...E-Mail-Dienste noch sicherer machen ... 
Mail-Verkehr insgesamt auf SSL-Verschlüsselung umstellen..."

Also musste ich jetzt "umstellen", was Dank der hervorragenden howto's 
prima und auf anhieb funktioniert hat. Meine Erfahrungen dazu habe ich 
weiter unten zusammengefasst.

Ich würde die SSL-Verschlüsselung jetzt auch gerne für den internen 
Mail-Verkehr benutzen, denn letztlich gehen die "internen" Mail ja doch 
wegen Zugriff von "außen" mit Smartphones etc. über das Internet und mit 
SSL ist es wohl sicherer, dass der Mailserver nicht für Spam benutzt wird.

Deshalb meine Frage, ob es hier ebenfalls howto's dazu gibt. Das 
Einstellen der Parameter im Mailpaket ist nicht wirklich das problem, 
sondern mehr die Frage, welche Zertifikate ich wo benötige und wie ich 
zu diesen komme bzw. diese erstelle.

Vielen Dank für eure Hilfe
Grüße
Jens

=======================================================================
Hier nochmal kurz die Zusammenfassung für 1und1 mit meinen Erfahrungen 
zu Umstellung für externen Mailverkehr, d.h. Mail-Versand über exim 
Mail-Emfang über fetchmail.

SSL-Posteingang:
http://www.eisfair.org/hilfe/howtos/mail/ssl-mail/

fetchmail pop.1und1.de --ssl --verbose --username <username> --protocol 
<pop3 oder imap>

Alle (3) Zertifikate werden mitgeliefert, um Post mit SSL-Verchlüsselung 
abzuholen

SSL-Mailversand
https://ssl.nettworks.org/wiki/display/e/SSL-Mailversand

Hier funkioniert:
1und1.de: openssl s_client -connect smtp.1und1.de:587 -starttls smtp

Es wird nur ein Zertifikat mitgeliefert, allerdings funktioniert die 
Auflösung mit

/var/install/bin/certs-show-chain smtp.1und1.de.pem

problemlos.

Für exim.pem habe ich die Abkürzung über pureftp.pem genommen und dieses 
einfach kopiert. Warum das geht entzieht sich meiner Kenntnis

Mit den Einträgen
SMTP_SMARTHOST_x_FORCE_AUTH = yes
SMTP_SMARTHOST_x_FORCE_TLS = yes # –- SSL aktivieren
SMTP_SMARTHOST_x_PORT = 587

hat damit die Umstellung für den Mail-Empfang und Mail-Versand ohne 
Probleme funktioniert.

Einen Verbesserungsvorschlag für das Mail-Paket wäre, den 
FETCHMAIL_x_SSL_FINGERPRINT einmalig für alle Postfächer anzugeben, denn 
vielen wird es so gehen wie mir, dass nur von einem Provider die Post 
geholt wird.

Mehr Informationen über die Mailingliste Eisfair