[Eisfair] [E1] Fetchmail event Report from Server

Marcus Roeckrath marcus.roeckrath at gmx.de
Fr Apr 17 16:40:20 CEST 2015


Hallo Heidrich,

Stefan Heidrich wrote:

> Es sind alle (meine) bei Strato gehosteten Domains betroffen. Und da ich
> mich um einige Webseiten kümmere und damit dort in der Regel auch eine
> Webmaster-Adresse habe, bin ich mehrfach betroffen.

Das ist Deinem Posting nicht zu entnehmen.

> Du meinst, es könnte am Loadbalancer liegen? Damit müsste sich das Problem
> doch in wenigen Stunden/Tagen von alleine lösen, wenn sich die Server
> abgeglichen haben...

Keine Ahnung, woran es liegt; das waren nur Erfahrungsbeispiele.

Große Provider betreiben ja nicht einen Mailserver, sondern eine ganze Farm,
auf die der Traffic verteilt wird. Letztes Jahr hat es T-Online geschafft,
einen Teil der Server mit einem anderen Zertifikat zu versehen, als die
meisten übrigen.

Das fanden die auf Nachfrage sogar ganz normal; irgendwann haben sie den
Quatsch dann doch eingesehen.

Du hast das Problem, dass Starto beim Mailabruf ein Zertifikat übermittelt,
dass einen anderen als den in der Mailkonfiguration angegebenen Fingerprint
hat - also ein anderes Zertifikat.

Das Update-Script fordert nun das Zertifikat an und bekommt eines, das den
gleichen Fingerprint, wie das bisher benutzte hat.

Fazit:

Der Strato-Mailserver benutzt beim Mailabruf und beim Zertifkatsdownload
verschiedene Zertifikate.

Manchmal passiert so etwas, wenn ein Zertifikat ausgetauscht wird, dann
behebt sich das nach einer Weile.

Bevor hier wieder Nachfragen kommen, warum z. B. Thunderbird damit keine
Probleme hat, auch dazu eine kurze Erklärung.

Thunderbird prüft nicht den Fingerprint, also nicht gegen eine
"abgespeicherte vertrauenswürdige Kopie" des Providerzertifikats.

Solange das präsentierte Zertifikat gültig unterzeichnet ist, wird jedes
Zertifikat akzeptiert.

Fetchmail ist das strenger, außer man wählt als Fingerprint "" in der
Mailkonfiguration.

-- 
Gruss Marcus


Mehr Informationen über die Mailingliste Eisfair