Serveridentität kann nicht überprüft werden

  • Hallo,

    ich erhalte beim Abruf von Emails die Meldung das die Serveridentität nicht überprüft werden kann. Auf dem PC habe ich die Möglichkeit das Zertifikat anzeigen zu lassen. Aber auch da kann noch nichts wirklich auffälliges feststellen. Das Zertifikat ist von lets encrypt, ist auch nicht abgelaufen.

    Hat jemand eine Idee woran das liegen könnte?

  • Die Frage ist auch was im Mailprogramm als Adresse steht. Das Zertifikat kann ja durchaus gültig sein. Wenn man aber imap.domain.de im Client stehen hat, das Zertifikat aber auf server.domain.de läuft, gibt es den gleichen Fehler.

  • Die Frage ist auch was im Mailprogramm als Adresse steht. Das Zertifikat kann ja durchaus gültig sein. Wenn man aber imap.domain.de im Client stehen hat, das Zertifikat aber auf server.domain.de läuft, gibt es den gleichen Fehler.

    Da hab ich dran gedacht. Also daran sollte es nicht liegen.


    Dennoch hab ich da wohl ein Problem. Scheinbar findet die Seite gar kein Zertifikat ?

  • Es ist jetzt natürlich schwierig für Außenstehende das Problem korrekt zu analysieren. Auf welchem Port wurde denn da getestet? Da starttls verfügbar scheint, würde ich jetzt auf Port 25 tippen. Das hat nur gar nichts mit dem Abruf von Mails zu tun. Für POP3 wird 995 und IMAP 993 verwendet.


    Ich würde dies lieber auf der Shell testen:

    Code
    echo "" | openssl s_client -servername $server -connect $server:$port | openssl x509 -noout -dates -text

    Für $server den Hostnamen und für $port Port 993 oder 995 verwenden. Man kann auch Port 465 für den Versand damit prüfen.


    Der Vollständigkeit halber hier auch der Befehl für Port 25 oder 587. Dort muss im nur ein -starttls smtp hinzugefügt werden:

    Code
    echo "" | openssl s_client -servername $server -starttls smtp -connect $server:$port | openssl x509 -noout -dates -text
  • Zumindest deutet "Ergebnisse unvollständig" auf eine Unstimmigkeit hin. Das kann aber auch daran liegen, wenn das Zertifikat auf server01.domain1.de läuft, die Domain im MX mail.domain.de eingetragen hat. Ich meine dann bemängelt es ssl-tools.de ebenfalls.


    Was genau da fehlerhaft sei kann man aber nicht sagen. Auf dem Screenshot sieht man leider nur den mittleren Teil der Ausgabe von https://de.ssl-tools.net/mailservers/ - nämlich die Ausgabe welcher Server für eingehende Mails zuständig ist. Dabei darf man "eingehend" nicht mit "abrufen" verwechseln. Bei "eingehend" ist der qmail-smtpd Dienst auf Port 25 gemeint. Das Abrufen von Mails vom Server erfolgt jedoch über Dovecot. Hier sind also unterschiedliche Dienste zuständig. Bei qmail kann daher alles OK sein und bei Dovecot ein Problem vorliegen.


    Die Testseite bringt daher leider bei dem geschilderten Problem nichts.

  • Hat etwas länger gedauert, sorry. Das werden jetzt ein paar mehr Posts. Die Zeichen sind hier im Forum leider begrenzt.

    Ich hoffe ich poste bei den ganzen Keys die da als Ausgabe kommen, nichts sicherheitsrelevantes. Wenn ja, bitte löschen bzw. zensieren.

    Code
    echo "" | openssl s_client -servername $server -connect $server:$port | openssl x509 -noout -dates -text

    Port 993:

  • Port 995


  • Port 465


  • Dann die Ausgaben von


    Zitat
    Code
    echo "" | openssl s_client -servername $server -starttls smtp -connect $server:$port | openssl x509 -noout -dates -text


    Port 25

  • ...und Port 587


  • Ich hoffe ich poste bei den ganzen Keys die da als Ausgabe kommen, nichts sicherheitsrelevantes. Wenn ja, bitte löschen bzw. zensieren.

    Wenn man nicht weiß was man postet, sollte man es vielleicht auch nicht unbedacht posten ;) Mit dem Befehl wird der öffentliche Schlüssel des Zertifikats abgefragt. Da gibt es nichts sicherheitskritisches. Dies kann praktisch jeder machen, der den Hostnamen bzw. die IP des Servers hat.


    Es scheint jedenfalls überall das gleiche Zertifikat für HOSTNAME eingerichtet zu sein. Die Ausgaben von Port 25, 465 und 587 sind bei diesem Problem irrelevant, da es ja um ein Problem beim Abrufen von Mails geht.


    Es kommt das neue LE Root Zertifikat ISRG Root X1 zum Einsatz. Ist der Mail-Client oder das Betriebssystem vielleicht veraltet und unterstützt/kennt dieses Zertifikat nicht? (siehe Kompatibilität)

    Ansonsten käme mir noch das Stichwort "Internet Security Suite" in den Sinn. Manche dieser Anwendungen schalten sich, um Mails beim Abruf/Versand auf Gefahren zu prüfen, dazwischen. Das kann auch Fehler in Bezug auf das Zertifikat bzw. die Zertifikatskette verursachen.