[Eisfair] Mails gehen obwohl Zertifikate alt

Marcus Roeckrath marcus.roeckrath at gmx.de
Sa Apr 13 21:05:42 CEST 2019


Hallo Harald,

Harald Seitter wrote:

> Dann kamen überraschend am 08. April neue Fingerprints
> in fetchmail. Soweit so gut.
> Am 11. April dachte ich keine Mails gehen mehr und
> habe auf meinem Testmailserver alle Zertifikate als
> pems erzeugt und die Kette durchgehend gültig gemacht.
> Alles im Prinzip ok - aber oh wunder auf den
> Mailservern mit "alten" pem-Dateien su. geht der
> Mailverkehr weiterhin problemlos.

Ich habe keine Ahnung, ob fetchmail wirklich den Ablauf prüft, dazu müsste
man die Source genauer durchsehen, wozu mir aber tiefergehende C-Kenntnisse
fehlen.
 
> Der Clou: ich beschäftige mich nicht ständig mit Mails
> unt entdeckte das Modul mail-addon-certs. Das hätte mir
> auch noch die Arbeit abgenommen! Eieiei - ein Dickes Lob
> an Marcus Roeckrath. Das hätte mir früher viel Arbeit
> erspart.

Bitte, Jürgen hält da nicht soviel davon, weil das Skript natürlich keine
tiefgehende Prüfung der downgeloadeten Zertifikate macht; macht man manuell
natürlich auch nicht. Daher kann man eigentlich auch auf die Eintragung von
Fingerprints in der Mailkonfiguration verzichten.

> Warum werden Fingerprints 2 Tage (08.04. 12:00 Uhr)
> gändert ohne Vorwarnung?  Da ging dann kein fetchmail
> mehr.

Fingerprints ändern sich, wenn der Provider einen Zertifikatswechsel
vornimmt - und das macht der dann ohne Vorwarnung.

Es gibt Provider mit mehreren Mailservern, wo es manchmal tage dauert, bis
endlich alle Server mit dem gleichen Zertifikat versorgt sind.

> Aber warum funktioniert der Mail-Verkehr, wenn doch die
> Zertifikate veraltet sind. Gibt auch keine Fehlermeldungen.

s. o.

> Irgendwie fehlt mir da noch das Verständnis von Gültigkeit.
> Man will ja nicht meckern, wenn etwas funktioniert, obwohl
> man es nicht mehr erwartet. Verstehen will man es halt. :-)

Wenn fetchmal ein abgelaufenes Zertifikat nicht anmeckert, wird man davon
auch nichts mitbekommen.

-- 
Gruss Marcus


Mehr Informationen über die Mailingliste Eisfair