Hallo zusammen,
wir haben seit kurzem eine UTM9, und holen die Mails per POP3 Proxy mit SSL ab. In den entsprechenden Protokollen (wir benutzen Tobit) sieht man sehr schön,
daß das SSL Zertifikat von der UTM benutzt wird:
POP3MainThread: g_ActiveThreads=0, Inprocess=
POP3MainThread: after waitWhileActive() g_ActiveThreads=0, Inprocess=
:1: (00001092) OutOfBandDataInline: 1
:2: (00001108) ReUseAddr : 1
:5: (00001104) OutOfBandDataInline: 1
:1: (00001092) KeepAlive : 5 minutes
:2: (00001108) OutOfBandDataInline: 1
:5: (00001104) KeepAlive : 5 minutes
:2: (00001108) KeepAlive : 5 minutes
:6: (00000840) Socket Bound to Port 0
:4: (00001052) Socket Bound to Port 0
:1: (00001092) Socket Bound to Port 0
:5: (00001104) Socket Bound to Port 0
:2: (00001108) Socket Bound to Port 0
:3: (00001100) Socket Connected to 212.227.15.162
:6: (00000840) Socket Connected to 212.227.15.178
:1: (00001092) Socket Connected to 212.227.15.162
:4: (00001052) Socket Connected to 212.227.15.178
:5: (00001104) Socket Connected to 212.227.15.162
:2: (00001108) Socket Connected to 212.227.15.178
(00001100)(DAVIDTLS) Server certificate information:
(00001100) Subject: /C=de/L=Stadt/O=Firma/CN=firewall.firma.de
(00001100) Issuer: /C=de/L=Stadt/O=Firma/CN=Firma WebAdmin CA/emailAddress=administrator@firma.de
(00001100) SSL version=TLSv1.2 cipher=AES256-GCM-SHA384 bits=256
:3: SSL connected
:3: ReceiveMail: connected, Socket=00001100
:3: (00001100) read (31/0)
:3: (00001100) Got complete TCP Message (Size=31)
:3: +OK POP3Proxy ready on node 1
Aus verschiedenen Gründen möchte ich zusätzlich von einem CentOS Linux per fetchmail + SSL ebenfalls über den Pop3Proxy der UTM9 Mails abholen,
da schlägt allerdings der Abruf wegen fehlender Zertifikate fehl:
[root@mw24mailgate certs]# fetchmail -v -a -k -f /etc/fetchmailrc
fetchmail: WARNUNG: Vom Betrieb mit root-Rechten wird abgeraten.
fetchmail: 6.3.24 fragt pop.1und1.de ab (Protokoll POP3) um Mi 10 Nov 2021 13:13:11 CET: Abfrage gestartet
Versuche, mit 212.227.15.162/995 zu verbinden...verbunden.
fetchmail: Server-Zertifikat:
fetchmail: Herausgeber-Organisation: Firma
fetchmail: Herausgeber-CommonName: Firma WebAdmin CA
fetchmail: Subjekt-CommonName: firewall.firma.de
fetchmail: Subject Alternative Name: firewall.firma.de
fetchmail: Server-CommonName stimmt nicht überein: firewall.firma.de != pop.1und1.de
fetchmail: pop.1und1.de-Schlüssel-Fingerabdruck: F7:3D:0F:ED:EE:E8:E5:E9:0A:AA:0F:E1:A0:76:7F:61
fetchmail: Fehler bei Server-Zertifikat-Überprüfung: unable to get local issuer certificate
fetchmail: Das heißt, dass das Wurzelzertifikat (ausgestellt für /C=de/L=Stadt/O=Firma/CN=firewall.firma.de) nicht unter den vertrauenswürdigen CA-Zertifikaten ist, oder dass c_rehash auf dem Verzeichnis ausgeführt werden muss. Details sind in der fetchmail-Handbuchseite im bei --sslcertpath beschrieben.
140654116874128:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:s3_clnt.c:1264:
fetchmail: SSL-Verbindung fehlgeschlagen.
fetchmail: Socket-Fehler beim Abholen von info@firma.com@pop.1und1.de
fetchmail: 6.3.24 fragt ab pop.1und1.de (Protokoll POP3) um Mi 10 Nov 2021 13:13:11 CET: Abfrage beendet
fetchmail: Abfragestatus=2 (SOCKET)
fetchmail: normale Beendigung, Status 2
Als Vorwarung: ich habe gewisse Wissenlücken ;-)
Was habe ich bisher ausprobiert ?
Ich habe das Local X509 Cert aus der Sophos als *.pem heruntergeladen, nach /etc/ssl/certs hochgeladen, und ein c_rehash gemacht. Keine Verbesserung, der Fehler bleibt. Auch das Rumspielen mit einigen fetchmail Parameter hat nichts gebracht, außer ich hole mit fetchmail die Mails ohne SSL ab - aber da glaube ich nicht, daß die UTM so nett ist, zwischen 1und1 und ihr selbst eine SSL Verbindung aufzumachen, um anschließend über den Pop3Proxy die Mails unverschlüsselt weiterzureichen.
Vielleicht hat ja jemand einen Tip, wo ich suchen kann, und worin mein Fehler liegt.
MfG,
Frank
This thread was automatically locked due to age.
