DNS autoconfig.domain.tld

  • Hallo Netcup Gemeinde.


    Habe ein Paket Webhost 2000 gebucht, um meinen Mail Verkehr abzuwickeln.

    Nur leider funktioniert die automatische Einrichtung von Mailclients garnicht.


    Im DNS ist folgendes abgelegt:

    mail.domain.tld A IPv4 von netcup.net

    webmail.domain.tld A IPv4 von netcup.net

    autoconfig.domain.tld CNAME autoconfig.netcup.net


    1.Problem: mail.domain.tld verweist auf eine Domain von netcup.net, wo ein Zertifikat mit HTTPzuHTTPS und HSTS hinterlegt ist. Dies ist für netcup.net und *.netcup.net registriert und nicht für domain.tld. Somit kann weder per Browser darauf zugegriffen werden noch wird es von Thunderbird und Outlook akzeptiert. Ist aber auch logisch!


    2.Problem: Bei webmail.domain.tld spiegelt sich selbes wie bei mail.domain.tld ab. Eigentlich sollte webmail.domain.tld dem Benutzer den Webzugriff auf das Mailkonto erleichtern, um sich nicht eine "komplizierte" Domain merken zu müssen. Aber auch hier verweigern, dank HSTS, die Browser ein Weiterkommen. Das "falsche" Zertifikat kann nicht umgangen werden. Sicherheitstechnisch vollkommem legitim und wünschenswert!


    3.Problem: autoconfig.domain.tld verweist auf netcup.net und wird für die Autokonfiguration der Mailclienten benötigt. Aber hier wird mail.domain.tld zurück gegeben, was ja nun nicht funktioniert, und nicht mx1234.netcup.net, so wie es Netcup empfiehlt, manuell einzutragen.


    Also ein Versuch dieses System auszutricksen.

    Die 3 DNS Einträge gelöscht und versucht Subdomains anzulegen. Dies wird allerdings verweigert, da es die Namen schon gibt. DNS TTL steht auf 600 und auch nach 24h war es nicht möglich. Antwort vom Support: Es sind "feste" Einträge vom System was über dem Webhost 2000 steht. Das heißt, das mail.xxx und webmail.xxx dahin zeigen müssen was dort steht und nichts anderes.


    Zweiter Versuch erfolgte mit autoconfig.domain.tld. Diesen habe ich auf domain.tld gesetzt und nach diversen Anleitungen im Internet selber eine config-v1.1.xml angelegt. Zu der domain.tld wurde eine Wildcard Zertifikat angelegt.

    Egal was in der config steht und wo ich sie ablege, es wird dem Mail Client immer mail.domain.tld zurück gegeben. DNS TTL steht immer noch auf 600 und auch nach 48h ändert sich nichts.


    Mehrere Ablageorte wurden angelegt:

    domain.tld/.well-known/autoconfig/mail/config-v1.1.xml

    domain.tld/.well-known/mail/config-v1.1.xml

    domain.tld/.well-known/config-v1.1.xml

    domain.tld/autoconfig/mail/config-v1.1.xml

    domain.tld/autoconfig/config-v1.1.xml

    domain.tld/mail/config-v1.1.xml

    domain.tld/config-v1.1.xml


    Die config-v1.1.xml ist nach folgendem Beispiel angelegt:

    https://github.com/szepeviktor/debian-server-tools/blob/master/mail/well-known-autodiscover/.well-known/autoconfig/mail/config-v1.1.xml


    Als Domain steht dort mx1234.netcup.net. Über Browser getestet und kann geöffnet werden.


    iPad, Thunderbird, Outlook, Gmail melden trotz dem immer mail.domain.tld zurück und können, wegen HSTS und dem "falschen" Zertifikat, nicht darauf zugreifen.

    Also eine Fehlkonfiguration bei der man bei den Webhosting 1000/2000/4000/8000 leben muss -!

  • Bitte korrigiert mich, aber soweit ich weiß, ist es bei den Webhosting-Paket einfach nicht vorgesehen, dass die entsprechenden Autoconfig-Adressen über HTTPS (mit korrektem Zertifikat) erreicht werden können.

  • Bitte korrigiert mich, aber soweit ich weiß, ist es bei den Webhosting-Paket einfach nicht vorgesehen, dass die entsprechenden Autoconfig-Adressen über HTTPS (mit korrektem Zertifikat) erreicht werden können.

    So isses! Nicht nur bei netcup, so sollte es eigentlich überall sein. Jedenfalls bei autoconfig, zu autoconfigure kann ich nichts sagen. Aber die entsprechende Konfigurationsdatei für Thunderbird autoconfig ist - jedenfalls bei mir - abrufbar (gemäß https://wiki.mozilla.org/Thunderbird:Autoconfiguration) über

    Code
    http://autoconfig.example.com/mail/config-v1.1.xml?emailaddress=tab@example.com

    Der DNS-Eintrag für webmail fehlt bei mir, der sollte hierfür aber auch nicht relevant sein. Die beiden anderen Einträge sind aber genau so wie oben. Als IP-Adresse der mail-Subdomain ist die IPv4 des zugehörigen Mailservers gemäß CCP des Webhostings eingetragen.

  • Aber hier wird mail.domain.tld zurück gegeben, was ja nun nicht funktioniert, und nicht mx1234.netcup.net, so wie es Netcup empfiehlt, manuell einzutragen.

    Also bei mir wird über die von Netcup via cname zur Verfügung gestellte autoconfig der richtige FQDN zurückgegeben, in meinem Fall mx2fc6.netcup.net und damit gibt es im Client auch keinen Zertifikatsfehler.

  • Also bei mir wird über die von Netcup via cname zur Verfügung gestellte autoconfig der richtige FQDN zurückgegeben, in meinem Fall mx2fc6.netcup.net und damit gibt es im Client auch keinen Zertifikatsfehler.

    Also bei mir funktioniert die in meinem obigen Beitrag angegebene URL nicht mit https (Port 443), sondern nur mit http (Port 80). Insofern braucht es da auch kein Zertifikat, was wohl auch der Grund dafür ist, dass man die Datei seitens Thunderbird und anderen Clients grundsätzlich immer mit http versucht zu lesen. Ich habe auch seit Jahren nie ein Problem gehabt, eine Mailadresse eines netcup Webhostings im Thunderbird automatisch angelegt zu bekommen.


    Wenn alles so gut und problemlos funktionieren würde bei der Mail im Webhosting wie das autoconfig, dann hätte ich meine Mailadressen und Maildomains alle hier bei netcup. Und der eine oder andere Kunde von mir wohl auch. Vielleicht sollte ich die Zustellbarkeit der Webhosting Mails nochmal eine Weile neu prüfen. da es ja laut Lars mittlerweile um einiges besser geworden sein soll.

  • als erstes würde ich die dns-auflösung prüfen. beim TS sehen die obigen beispiele schon nicht korrekt aus (jeweils .domain.tld zuviel).

    man sollte auch prüfen, ob in den clients, wie z.b. thunderbird, die entsprechenden auto_config-settings nicht auf sslonly=true stehen.

    »Hauptsache BogoMIPS!«

    Fleischfresser

    »This is extremely dangerous to our democracy«

    Edited 3 times, last by Olivetti ().

  • Also bei mir funktioniert die in meinem obigen Beitrag angegebene URL nicht mit https (Port 443), sondern nur mit http (Port 80). Insofern braucht es da auch kein Zertifikat,

    habe mich etwas undeutlich ausgedrückt, sorry. mir ging es um das Zertifikat des Mailhosts (das z.b. zum Tragen kommt wenn man mail.domain.tld im Mailclient nutzt, also Punkt 1 des TE), nicht des Webservers der die autoconfig ausliefert. die autoconfig läuft nur unverschlüsselt über Port 80, ja, aber bisher hatte KEIN Mailclient damit Probleme und wirklich sensible Daten werden dort ja auch nicht ausgegeben, also eigl egal. (Punkt 3) :) Man müsste klären, wieso bei ihm nicht der netcup-Host ausgegeben wird bei autoconfig.

  • Gut, wenn das nicht funktionieren kann, dann erkläre mir mal bitte, warum bei mir mit Firefox die folgende URL die autoconfig xml-Datei zurückgibt:

    Code
    http://autoconfig.netcup.net/mail/config-v1.1.xml?emailaddress=tab@example.com

    während die selbe URL mit https nicht funktioniert und die Meldung zurückgibt:

    Code
    Fehler: Netzwerk-Zeitüberschreitung
    
    Beim Verbinden mit autoconfig.netcup.net trat ein Fehler auf. 

    Und wieso ich http://autoconfig.netcup.net ohne HSTS und Weiterleitung auf https aufrufen kann, wenn ich auch gesagt bekomme

    Code
    Forbidden
    
    You don't have permission to access this resource.
    Apache/2.4.38 (Debian) Server at autoconfig.netcup.net Port 80

    Edit: autoconfig.netcup.net und netcup.net sind eben zwei Paar Stiefel.

  • Kann schon mal nicht funktionieren, da das Zertifikat von netcup.net bei mir HTTPzuHTTPS und HSTS hat.
    Da ist dann nichts auf Port 80 erreichbar.

    Wie kann denn ein Zertifikat "HTTPzuHTTPS" haben?

    Bei mir ist ein Webserver unter netcup.net auch unter Port 80 erreichbar.


    Ich fürchte, das hat aber, wie tab schon geschrieben hat, nichts mit den Autoconfig-Adressen zu tun.

  • Kann schon mal nicht funktionieren, da das Zertifikat von netcup.net bei mir HTTPzuHTTPS und HSTS hat.
    Da ist dann nichts auf Port 80 erreichbar.

    was womöglich daran liegt:

    Also ein Versuch dieses System auszutricksen.

    Die 3 DNS Einträge gelöscht und versucht Subdomains anzulegen

    ich bezog mich auf die von Netcup bereitgestellte autoconfig, die per default als cname eingerichtet ist. und eben jener Webserver lauscht sehr wohl auf Port 80 und zwar nur auf Port 80 und liefert die korrekte Mail-Config zurück:

    Ich verstehe daher nicht wirklich deine Bastelei. Es sei denn, dir liefert Netcup(!) da wirklich falsche Werte zurück - dann wäre es durchaus auch ein Fall für den Support.

  • Und bitte auch nochmal denHinweis von Olivetti weiter oben checken.

    Also im Thunderbird malEinstellungen->Allgemein, dann ganz unten "Konfiguration bearbeiten..." und alle Einstellungen anzeigen lassen.


    Da gibt es u.a.


    Code
    mailnews.auto_config.fetchFromISP.sslOnly


    Der Wert ist per Default auf false eingestellt, womit es dann bei netcup funktionieren kann. Wenn er auf true steht, dann könnte das die Erklärung des Problems sein.

  • Zu der domain.tld wurde eine Wildcard Zertifikat angelegt.

    und das zertifikat als wildcard mit HSTS gilt ja auch für autoconfig.domain.tld. solange er das nicht ändert, wird's eh' nix.

    »Hauptsache BogoMIPS!«

    Fleischfresser

    »This is extremely dangerous to our democracy«

    Edited once, last by Olivetti ().

  • Tja, da hast du wohl die Ursache gefunden. Das kann man jetzt sehen wie man will. Entweder netcup sollte die ohnehin problematischen Wildcard LE-Zertifikate rausnehmen - was bei kostenpflichtigen Wildrard-Zertifikaten dann aber auch nicht hilft. Oder sie sollten auch mit https die Datei liefern. Wenn das dann andere Probleme macht, müssen sie sich halt was überlegen. Oder man trägt die Daten halt manuell in den Client ein. Was ich bei anderen Anbietern öfter mal machen muss, zumal bei Outlook als Client.

  • Gut, wenn das nicht funktionieren kann, dann erkläre mir mal bitte, warum bei mir mit Firefox die folgende URL die autoconfig xml-Datei zurückgibt:

    Code
    http://autoconfig.netcup.net/mail/config-v1.1.xml?emailaddress=tab@example.com

    während die selbe URL mit https nicht funktioniert und die Meldung zurückgibt:

    Code
    Fehler: Netzwerk-Zeitüberschreitung
    
    Beim Verbinden mit autoconfig.netcup.net trat ein Fehler auf. 

    Und wieso ich http://autoconfig.netcup.net ohne HSTS und Weiterleitung auf https aufrufen kann, wenn ich auch gesagt bekomme

    Code
    Forbidden
    
    You don't have permission to access this resource.
    Apache/2.4.38 (Debian) Server at autoconfig.netcup.net Port 80

    Edit: autoconfig.netcup.net und netcup.net sind eben zwei Paar Stiefel.

    Ganz einfach erklärt:
    Thunderbird ruft ja auch nicht "autoconfig.netcup.net" auf sondern "autoconfig.domain.tld". Hier melden sich dann "netcup.net" mit einem Zertifikat von "netcup.net", was ja nicht zu "domain.tld" passt. Wenn ich jetzt deine Adresse "http://autoconfig.domain.tld/xxxx" im Browser eingebe, lande ich auf "https://xxx" und dafür für ein Zertifikat benötigt, das zur Adresse/Domain passen muss.
    Und da dort HSTS mit hinterlegt/angegeben/ausgewählt/... ist, läßt sich das auch nicht umgehen!


    So sieht das überigens in Thunderbird aus:

    pasted-from-clipboard.png

  • Ja, es liegt wahrscheinlich an deinem Wildcard-Zertifikat mit HSTS für deine Domain. Das gilt auch für die autoconfig-Subdomain.

    Kann auch nicht zutreffen, da ich nachweislich das Zertifikat von "netcup.net" bekomme, welches nicht zu "domain.tld" passt.
    Mein Zertifikat "domain.tld" würde dann ja nicht zu "netcup.net" passen. Das Zertifiakt kann ich mir aber anschauen, welches ich dank HSTS nicht umgehen kann und dort wird mir angezeigt, dass es für "netcup.net" und "*.netcuo.net" ausgestellt ist.