Du bist nicht angemeldet.

#1 22.08.2020 19:26:20

303acid
Mitglied

Dovecot und Thunderbird

Hallo,
habe seit einiger Zeit einen kleinen Mailserver laufen. Letztens habe ich auf einem Client den Thunderbird aktuallisieren müssen - jetzt will der die SSL-Verbindung nicht mehr akzeptieren...

dovecot[579652]: imap-login: Debug: SSL: where=0x10, ret=1: before SSL initialization
dovecot[579652]: imap-login: Debug: SSL: where=0x2001, ret=1: before SSL initialization
dovecot[579652]: imap-login: Debug: SSL: where=0x2002, ret=-1: before SSL initialization
dovecot[579652]: imap-login: Debug: SSL: where=0x2001, ret=1: before SSL initialization
dovecot[579652]: imap-login: Debug: SSL: where=0x2001, ret=1: SSLv3/TLS read client hello
dovecot[579652]: imap-login: Debug: SSL: where=0x2001, ret=1: SSLv3/TLS write server hello
dovecot[579652]: imap-login: Debug: SSL: where=0x2001, ret=1: SSLv3/TLS write change cipher spec
dovecot[579652]: imap-login: Debug: SSL: where=0x2001, ret=1: TLSv1.3 write encrypted extensions
dovecot[579652]: imap-login: Debug: SSL: where=0x2001, ret=1: SSLv3/TLS write certificate
dovecot[579652]: imap-login: Debug: SSL: where=0x2001, ret=1: TLSv1.3 write server certificate verify
dovecot[579652]: imap-login: Debug: SSL: where=0x2001, ret=1: SSLv3/TLS write finished
dovecot[579652]: imap-login: Debug: SSL: where=0x2001, ret=1: TLSv1.3 early data
dovecot[579652]: imap-login: Debug: SSL: where=0x2002, ret=-1: TLSv1.3 early data
dovecot[579652]: imap-login: Debug: SSL: where=0x2002, ret=-1: TLSv1.3 early data
dovecot[579652]: auth: Debug: Loading modules from directory: /usr/lib/dovecot/modules/auth
dovecot[579652]: auth: Debug: Module loaded: /usr/lib/dovecot/modules/auth/lib20_auth_var_expand_crypt.so
dovecot[579652]: auth: Debug: Read auth token secret from /run/dovecot/auth-token-secret.dat
dovecot[579652]: auth: Debug: auth client connected (pid=579940)
dovecot[579652]: imap-login: Debug: SSL: where=0x2002, ret=-1: TLSv1.3 early data
dovecot[579652]: imap-login: Debug: SSL: where=0x2002, ret=-1: TLSv1.3 early data
dovecot[579652]: imap-login: Debug: SSL alert: where=0x4004, ret=554: fatal bad certificate
dovecot[579652]: imap-login: Debug: SSL: where=0x2002, ret=-1: error
dovecot[579652]: imap-login: Debug: SSL error: SSL_accept() failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate: SSL alert number 42
dovecot[579652]: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=10.200.200.2, lip=192.168.2.1, TLS handshaking: SSL_accept() failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate: SSL alert number 42, session=<w/qji3qtEuQKyMgC>

ältere TB-clients kommen zurecht.
Braucht es neuerdings wirklich 'echte' Zertifikate/kann man keine selbstsignierten mehr benutzen?
Ich habe die letzten 4 Stunden das Internet dazu durchforstet und keine passende Antwort auf diese Problem gefunden...

Weis hier einer zu helfen?

Offline

#2 22.08.2020 19:52:27

agarbathi
Mitglied

Re: Dovecot und Thunderbird

Ich denke Du solltest tatsächlich auf "echte" Zertifikate umsteigen. Das Problem ist ja eher das Du Gefahr läufst das kein Mailserver auf der Welt Deine Mails noch annimmt.

Offline

#3 22.08.2020 20:15:24

303acid
Mitglied

Re: Dovecot und Thunderbird

naja,,,
eigtlich ist der Mailserver 'only for internal use'
Mails nach aussen gehen ganz normal über den ISP.
Quasi jedes Tutorial für dovecot u.d.g. zeigt wie man sich SSL/TLS Schlüssel selber macht und in die konfiguration übernimmt...
Das muss doch immernoch Möglich sein

Offline

#4 22.08.2020 21:57:55

J4son
Mitglied

Re: Dovecot und Thunderbird

Sieht für mich so aus als ob Thunderbird generell keine selbst signierten Zertifikate mehr akzeptiert. In früheren TB Versionen konnte man wohl noch selbst signierte Zertifkate akzeptieren, diese Option gibt es aber so wie es aussieht nicht mehr.

Effektiv bleiben dir nur zwei möglichkeiten:

a) anderen Email Client nehmen der es mit den Zertifikaten nicht so genau nimmt

b) dir bei Let's Encrypt 'nen richtiges Zertifikat holen

303acid schrieb:

Quasi jedes Tutorial für dovecot u.d.g. zeigt wie man sich SSL/TLS Schlüssel selber macht und in die konfiguration übernimmt...
Das muss doch immernoch Möglich sein

--> Naja nur weil es x Tutorials dafür gibt und es prinzipiell möglich ist den Mailserver mit nem Self Signed Cert zu betreiben, muss das ja nicht heißen dass es auch jeder Mail Client akzeptiert wink

Beitrag geändert von J4son (22.08.2020 21:58:49)

Offline

#5 22.08.2020 23:31:19

Dirk
Moderator

Re: Dovecot und Thunderbird

303acid schrieb:

Quasi jedes Tutorial für dovecot u.d.g. zeigt wie man sich SSL/TLS Schlüssel selber macht und in die konfiguration übernimmt...

Vermutlich weil jedes Tutorial dazu älter ist als Let’s Encrypt.

303acid schrieb:

Das muss doch immernoch Möglich sein

Das ist auch immer noch möglich. Wenn du willst, dass deine selbst signierten Zertifikate von deinen Clients erkannt werden, musst du das passende Root-CA auf den Clients installieren, so dass Thunderbird anhand dessen das Zertifikat deines Mailservers prüfen kann.

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums