[Eisfair] Warnungen bei SSL fetchmail

Marcus Roeckrath marcus.roeckrath at gmx.de
Mi Mär 26 21:09:14 CET 2014


Hallo Detlev, hallo Dirk,

Detlef Paschke wrote:

>> Und was läuft da bei den Mailclients wie z.B. Thunderbird sooo
>> anders?     Ich verstehe diesen ganzen Rummel darum überhaupt nicht.
>> Diese ganze Zertifikatsbastelei nach HowTo...  Hier was runterladen und
>> da was ausschneiden und anderswo einfügen...   Wieso geht das nicht so
>> einfach wie bei den Clientprogrammen?  In gewissen Maße, wenn es z.B. um
>> den Mailabruf geht, fungiert doch der Eis da auch als Client, der die
>> Mailos auf dem Server abholt.
> 
> berechtigte Frage. Für den entfernten Mailserver sollte doch eisfair
> auch nicht anders erscheinen als ein stink normaler Mailclient. Warum
> geht dan nicht ein schlichtes SSL yes oder SSL no?

Wer eisfair einsetzt - trifft auch für jedes andere Linux-Serversystem zu -
betreibt einen Mailserver, der sich im Handling eines einfachen Mailclients
wesentlich unterscheidet; beim Provider selbst läuft eine ähnliche
Konstruktion, natürlich noch größer und komplexer.

eisfair fungiert natürlich als Client gegenüber dem Mailserver des Providers
bei der Mailabholung, aber dieser Begriff hat nichts mitdem Begriff Client
im Sinne von Mailclientprogramm (z.B. Thunderbird) zu tun.

Der Zugriff per Thunderbird auf die Mail - entweder direkt beim Provider
oder beim eisfair-Mailserver - ist von gleicher Art.

Wenn Du also Deinen eisfair auf ssl-AbruffürDeine internen Clients umstellst
und Du änderst das lokale Zertifikat Deines Eisfair-Servers, wird sich
Thunderbird auch das neue Serverzertifikat holen müssen, sofern auf dem eis
überhaupt der Download des Zertifikates möglich ist.

Hast Du auf dem eis Deine Mailserverzertifikat durch eine lokale CA
signiert, musst Du auch Thunderbird dieses Zertifikat beibiegen.

1. Mailclient (z. B. Thunderbird)

Ändert sich das Zertifikat des "angerufenen" Mailservers, holt dersich dann
einfach das neue Zertifikat; das tut unter eisfair das mail-addon-Script.

Bleiben die Stammzertifikate, die IMHO auch Thunderbird nicht im Fehlerfall
holt. IMHO enthält Thunderbird selbst eine Sammlung von Stammzertifikaten
vor, die jemand vom Thunderbird-Team pflegen wird. Oder es werden die im BS
integrierten Stammzertifikate benutzt. Aber auch die muss jemand pflegen.

2. Mailserver

Schon aus Sicherheitsgründen ist es für Mailserver nicht üblich, einen
Zertifikatsfehler automatisch aufzulösen; was ist mit einer
Man-in-the-Middle Attacke?

Dann landet ein gefaktes Zertifikat auf dem System; daher gibt es hier
durchaus eisfair-User, die die Funktionalität von mail-addon-certs bewußt
nicht einsetzen.

Mailserverprogramme sind also durchaus kritischer, als es Mailclients sind.

Die Frage wäre nicht, warum eisfair keine "unkritische" Automatik, die auch
nur das Serverzertifikat aber nicht die Stammzertifikate umfasst hat,
sondern warum dies die Programme exim (smtp) und fetchmail (pop) nicht tun.

Der wesentliche Grund ist die Sicherheit; wenn es Unstimmigkeiten in einer
Mailverbindung gibt, wird diese aus Sicherheitsgründen abgebrochen.

-- 
Gruss Marcus


Mehr Informationen über die Mailingliste Eisfair