SSL Zertifikat für mx???.netcup.net self-signed?

  • Hallo zusammen,


    nach meinem Verständnis gäbe es zwei Möglichkeiten um E-Mails über IMAP / SMTP zu verarbeiten, aber ich komme irgendwie nicht klar, wenn ich dies mit STARTTLS oder eigentlich besser TLS tun möchte.

    Hintergrund ist, dass mein unter der von netcup bereitgestellten Adresse mx???.netcup.net ein self-signed Zertifikat hängt. Das dürfte nach meinem Verständnis nicht sein. Insbesondere, da ich ein paar Clients habe bei denen ich das nicht ohne weiteres akzeptieren kann.


    Alternativ habe ich mal versucht die E-Mails mit den letsencrypt Zertifikaten zu "schützen" (so zumindest der Sprech in der Weboberfläche). Nach meinem Verständnis müsste der Zugriff bspw. mit SMTP STARTTLS über mail.meinedomain.tld:587 möglich sein und dort dann mein letsencrypt Zertifikat verwendet werden. Wenn ich mir das ganze mit dem openssl client anschaue ist nach der Konfiguration auch dort weiterhin irgend ein self-signed Zertifikat.


    Verstehe ich etwas falsch, bzw. wie kann ich das ganze korrekt konfigurieren? Ich habe den Webhosting 8000 Tarif.

    mx???.netcup.net habe ich doch eigentlich keine Chance oder? Müsste das nicht über ein wildcard Zertifikat von netcup.net gelöst sein?


    VIelen Dank und viele Grüße

    Andreas

  • Danke killerbees, aber ich glaube ehrlich gesagt nicht, da es wirklich ein self-signed und nicht das abgelaufene digicert Zertifikat ist.

    Habe gerade mal nachgeschaut und beim IMAP Port 993 passt das Zertifikat... nur SMTP 587 und 465 sind Murks...

  • Ist mir gestern auch aufgefallen.

    Ich brauchte eine email zu einer schon vorhandenen domain und habe die deshalb schnell mal an ein neues Webhosting Bestprice gebunden.

    Da hat Thunderbird beim Einrichten sich auch beschwert über das self-signed Zertifikat.

  • Problem sollte nicht mehr auftreten. Auf einer Hand voll System hatte wohl der restart der Maildienste nach Cert Tausch geklemmt.

    Bei mir tritt das Problem leider weiterhin auf:

    openssl s_client -starttls smtp -showcerts -connect mx2ebd.netcup.net:587 -servername mx2ebd.netcup.net CONNECTED(00000003) depth=0 C = CH, L = Schaffhausen, O = Plesk, CN = Plesk, emailAddress = info@plesk.com verify error:num=18:self signed certificate verify return:1 depth=0 C = CH, L = Schaffhausen, O = Plesk, CN = Plesk, emailAddress = info@plesk.com verify return:1 --- Certificate chain 0 s:C = CH, L = Schaffhausen, O = Plesk, CN = Plesk, emailAddress = info@plesk.com i:C = CH, L = Schaffhausen, O = Plesk, CN = Plesk, emailAddress = info@plesk.com -----BEGIN CERTIFICATE----- MIIDWzCCAkOgAwIBAgIEX7uOQzANBgkqhkiG9w0BAQsFADBjMQswCQYDVQQGEwJD SDEVMBMGA1UEBwwMU2NoYWZmaGF1c2VuMQ4wDAYDVQQKDAVQbGVzazEOMAwGA1UE AwwFUGxlc2sxHTAbBgkqhkiG9w0BCQEWDmluZm9AcGxlc2suY29tMB4XDTIwMTEy MzEwMjYxMloXDTIxMTEyMzEwMjYxMlowYzELMAkGA1UEBhMCQ0gxFTATBgNVBAcM DFNjaGFmZmhhdXNlbjEOMAwGA1UECgwFUGxlc2sxDjAMBgNVBAMMBVBsZXNrMR0w GwYJKoZIhvcNAQkBFg5pbmZvQHBsZXNrLmNvbTCCASIwDQYJKoZIhvcNAQEBBQAD ggEPADCCAQoCggEBAOGFhqjYb8U2nAKq2YrOyhb4yp3fFu6H6OhJ86CD7e/DhI27 i5BW5GkCMJLYY6MVQYtV/sO+Yg3NVSdG1o63m/nFYTd7ryz/oJzkGs8bi7AVOh8Y Ahp/gZ2jZnf1j9d2Kzw7DooY0D9luzM+Yu3JjPG6YVCYAImp1kahutX6WCqSvIt4 XewqjGCIBZkJokJHRZzfDkhxlUB6IY0hWBe4hrX+TEuixRUpSiUPMm3izSuyGmI1 zHT/v73Uvq918SAt4WSVZ07kgicLLB5dfuJa2Q2vrlwcOQ7j6Lqqx0QtrUE1AFL7 sYI2c2j3NtwBbKxu9MAG8gW+/8EVChYTeyUMbP0CAwEAAaMXMBUwEwYDVR0lBAww CgYIKwYBBQUHAwEwDQYJKoZIhvcNAQELBQADggEBAJjMKyZ+6TuUiuiRJfmXURj/ 6LAeejvj1jJhphzGk6odcIWVZqs6D9YsfozI/WWsUCdg2isaAjq02ZcYpGDlCAWG u3l7A0OEacnbsv5dx+p1pV/TH6QcwFAC3PIT7kSnoRC07AgKgdzdBhgpVhetSX7i dhzxymW+6EbN2v8+M5S0TSKdpx50Gcpyd9SRhxgN3D5qA1NdUe5TG9fgyMElHREt Bxzr+b5o58btpw+/KjGtxSFlf38p1R4znvoVxE5d3BlOa9OjQ6TL+DssecUXB6b3 5fgFv7QlJyEkPlN+zxr9cQT57J+ozJrISt0NucCmxD4pY2Zqtc4TbEKth12I9Hk= -----END CERTIFICATE----- --- Server certificate subject=C = CH, L = Schaffhausen, O = Plesk, CN = Plesk, emailAddress = info@plesk.com issuer=C = CH, L = Schaffhausen, O = Plesk, CN = Plesk, emailAddress = info@plesk.com --- No client certificate CA names sent Peer signing digest: SHA256 Peer signature type: RSA-PSS Server Temp Key: X25519, 253 bits --- SSL handshake has read 1742 bytes and written 445 bytes Verification error: self signed certificate --- New, TLSv1.2, Cipher is ECDHE-RSA-AES128-GCM-SHA256 Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES128-GCM-SHA256 Session-ID: ACFB1E10C93ECCC8BA4578656CC9258C33B02E33E1AF894F1FF76C54816FD7F4 Session-ID-ctx: Master-Key: F1B09109E03D384760D89D431B790D8D35B74240A681AF5F5597B62A5009E34C3AF9DA3C11EF79BB9D4136AC1E3BF215 PSK identity: None PSK identity hint: None SRP username: None TLS session ticket lifetime hint: 7200 (seconds) TLS session ticket: 0000 - 16 83 5e da a2 de 64 30-b7 1b 47 27 a6 8f dc e2 ..^...d0..G'.... 0010 - 20 c0 4d 4a eb cc f2 bd-0f 84 18 59 a4 aa 64 27 .MJ.......Y..d' 0020 - bd 65 92 8a 40 bf b3 4e-0c df 70 cd 3a e7 3c 65 .e..@..N..p.:.<e 0030 - c0 3f 2d d4 dd 61 c0 f3-1c f7 96 89 0b a3 37 93 .?-..a........7. 0040 - 18 de 85 2e 07 9a 02 8e-de ef c5 40 8a f5 fc 10 ...........@.... 0050 - ab 67 af 0e af 72 22 c9-a6 80 ae a6 27 b1 d6 61 .g...r".....'..a 0060 - ae ab 5e 12 87 84 ec e5-9a 31 57 c9 ee c7 bd ce ..^......1W..... 0070 - 17 ba 4c 33 0b fb f0 6c-d4 e9 3b ff f2 74 7a 41 ..L3...l..;..tzA 0080 - 6b 67 f8 25 fd 55 19 b3-b4 97 be 67 62 a4 6a 21 kg.%.U.....gb.j! 0090 - 23 d5 62 81 7c ee 63 3b-27 54 76 21 a9 94 b7 32 #.b.|.c;'Tv!...2 00a0 - 72 56 24 f4 01 dc a2 c9-0d 15 97 e9 cd d1 7a bf rV$...........z. Start Time: 1606572574 Timeout : 7200 (sec) Verify return code: 18 (self signed certificate) Extended master secret: yes --- 250 CHUNKING