Email mit gültigem TLS-Zertifikat schützen

  • Sehr geehrtes Netcup-Forum,


    ich habe ein kleines Webhosting Paket bei Netcup gebucht um eine kleine Webseite aufzusetzen, und nutze auch die Email über Netcup.

    Heute wurde ich darauf hingewiesen dass unsere Email nicht durch ein TLS-Zertifikat geschützt ist. Das würde ich gerne schnellstmöglich ändern.


    Ich habe die Suche verwendet und verschiedene Beiträge dazu gelesen wurde als Leihe aber nicht ganz schlau und hoffe ihr könnt mir das aufklären.

    Quote

    Nexus 14.06.2023


    Für Webmail kannst du https://webmail01.webhosting.systems/ verwenden und dort ist bereits ein gültiges TLS-Zertifikat vorhanden. Ansonsten nutzt IMAP/SMTP das TLS-Zertifikat von netcup (Wildcard für *.netcup.net). Also musst du im Mail-Client mxe99z.netcup.net (bzw. wie der Hostname deines Mailhostings lautet) verwenden.

    Wozu ist TLS bei Webmail/E-Mail wichtig? Damit dein Internetanbieter, Nachbarn in WLAN oder sonstige Dritte deinen Mailverkehr nicht mitlesen können.

    Und nein, TLS ist keine Ende-zu-Ende-Verschlüsselung in dem Sinne, dass die Daten zwischen Sender (der E-Mail) und Empfänger (der E-Mail) verschlüsselt sind und nur von diesen entschlüsselt werden können.

    Wenn ich das so lese müsste IMAP ja TLS unterstützen? Wenn ich mich nicht täusche rufe ich die Mails allerdings bisher über POP3 ab. Liegt es daran?


    Vom Advisor im WPC bekomme ich die Warnung dass eine Webseite nicht mit einem gültigen Certificat geschützt sei.


    Quote
    1 von 1 Websites (100%) sind nicht über ein gültiges SSL/TLS-Zertifikat geschützt
    Websites mit SSL/TLS-Zertifikaten sichern

    Sichern Sie Ihre Websites mit kostenlosen oder kostenpflichtigen SSL/TLS-Zertifikaten, um ihre Google PageRank zu erhöhen und Besuchern Sicherheit zu vermitteln.


    Wie kann ich das ändern?


    Ich hoffe ich könnt mir weiterhelfen.


    Vielen Dank


    Grüße Tom



  • Wenn ich mich nicht täusche rufe ich die Mails allerdings bisher über POP3 ab.

    Das kann ich dir jetzt nicht beantworten, aber probier es doch mal aus. Was spricht denn gegen IMAP?

    Wie kann ich das ändern?

    https://helpcenter.netcup.com/de/wiki/webhosting/ssl-verschluesselung-webhosting

    Wichtig: Wildcard NICHT auswählen.

    [RS] 2000 G11 | 2000 G9 | 500 G8 | 2x Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Edited once, last by Bud ().

  • Vielen Dank Bud.

    Die Anleitung per LetsEncrypt war genau was ich gesucht hatte.


    Leider kam am Ende eine Fehlermeldung, dass die Verschlüsselung für das Präfix www.DOMAIN nicht geklappt hätte.

    Für Domain ohne www hat es wohl geklappt

    Fehler beim Ausstellen des Zertifikats für

    Quote

    Invalid response from https://acme-v02.api.letsencry…cme/authz-v3/336742125697.

    Details:

    Type: urn:ietf:params:acme:error:unauthorized

    Status: 403

    Detail: 34.149.87.45: Invalid response from http://www.domain.de/.well-kno…pEBVyNpSBZ_gP8WOz5mSF8nk: 404


    Kannst du mir sagen wo ich da weiter nach dem Fehler suchen könnte :/

  • Ob IMAP oder POP3 genutzt wird, macht in diesem Fall keinen Unterschied. Es geht rein darum, welcher Host verwendet wird. Die gemeinsam genutzten Mail-Zertifikate bei Webhosting-Paketen lauten immer nur auf die mx___.netcup.net Hostnamen, dementsprechend muss das auch im jeweiligen Mailclient eingetragen werden. Die entsprechenden Daten sollten im CCP unter "Produkte" stehen, wenn Du das Lupen-Symbol anklickst. Let's Encrypt wird daran nichts ändern, das wird bei Plesk nur für HTTPS verwendet.


    Ansonsten poste mal bitte die genaue Meldung, die ursprünglich zu Deiner Verunsicherung geführt hat. Im Moment scheinst Du da einige Sachen zu vermischen. Besser wir starten nochmals bei Null, um jegliche Missverständnisse auszuräumen. :)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Edited 2 times, last by KB19 ().

    Like 2 Happy Duck 1
  • Vielen Dank für die Hilfe. Sehr gerne.


    Die ursprüngliche Meldung erhielt ich heute morgen als Reaktion auf eine Email von meinem Steuerberater:



    Für den Mailversand und empfang nutze ich

    mx2f1a.netcup.net


    Grüße Tom

  • Das hat mit dem Mailempfang durch Deinen Mailclient dann nichts zu tun. Die Nachricht bezieht sich (wahrscheinlich) auf die SMTP-Kommunikation zwischen den beteiligten Mailserver. Und da würde es mich sehr wundern, wenn kein TLS verfügbar ist. Erfahrungsgemäß haben da meistens die Absender ein Problem und schlagen fälschlicherweise Alarm...


    Aber gut, alles der Reihe nach: Führe bitte einmal den nachfolgenden Test aus, was kommt da raus? :)


    https://de.ssl-tools.net/mailservers

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Hallo KB:


    wenn ich den Test durchführe zeigt ein ein Problem mit dem Zertifikat für die Adresse

    mail.domain.de

    Quote

    Zertifikate

    Zuerst gesehen: 14.10.2023

    CN=*.netcup.net


    Zertifikatskette

    Subjekt
    Common Name (CN)

    • *.netcup.net

    Alternative Namen

    • *.netcup.net
    • netcup.net



    translation missing: de.problems.hostname.mismatch


  • Für mail.domain.de wird auch ein selbstsigniertes Zertifikat verwendet. In diesem Fall ist die Fehlermeldung richtig. Wenn du direkt den Mailserver testest (

    mxe***.netcup.net) dürfte alles passen.

    RS9.5er, RS11er und Webhosting. Was man eben so braucht :)

    Edited once, last by hamilrat ().

  • Für mail.domain.de wird auch ein selbstsigniertes Zertifikat verwendet. In diesem Fall ist die Fehlermeldung richtig. Wenn du direkt den Mailserver testest (

    mxe***.netcup.net) dürfte alles passen.

    Wenn man die Hauptdomain direkt testet also im Beispiel domain.de, werden auch die Mailserver mit der Priorität davor angezeigt, mail.domain.de mit Zertifikatfehler und bei den mx***.netcup.net Einträgen sollte alles passen. Wenn die DNS-Einträge korrekt gesetzt sind (also default beim Webhosting).

  • Sehr gerne.

    In den DNS hab ich die Weiterleitung zu WIX eingerichtet, bei denen ich die Webseite betreibe.


    Anbei der Link zu einem Screenshot meiner DNS:

    https://www.icloud.com/icloudd…mXhKi00tIlnrSJKJ6hqCg#DNS

    Ich kann bei deinen Eingaben keinerlei Fehler erkennen.


    Ist das Problem nur mit diesem einen Sender (Unternehmen) aufgetreten ?



    Edit:

    Du hast dort einen AAAA (IPv6) auf Netcup zeigen. Wenn du keine entsprechende IP von Wix hast, würde ich diese löschen.

    RS9.5er, RS11er und Webhosting. Was man eben so braucht :)

    Edited 2 times, last by hamilrat ().

  • Das Problem bezieht sich wirklich nur auf die eine Email heute morgen.

    Ich hatte das so verstanden dass wir nicht alle Sicherheitsstandards aktiviert haben und wollte das nachholen. Wenn das aber so passt bin ich glücklich :)


    Bezüglich dem AAAA Eintrag:

    Nein, mir wäre keine entsprechende IP von Wix bekannt.


    Welchen Eintrag mit AAAA darf ich dann löschen?

    Gleich den ersten mit " * " oder den " @ "?


    Danke für Eure Hilfe.

  • es gibt »spezialexperten« die testen mittlerweile nur auf TLS 1.3.

    evtl. liegt es daran.

    es liegt am Hostname Mismatch (Netcups MX werden standardmäßig mit Prio 50 gesetzt, dh zuerst wird mail.domain.tld probiert und nachdem hier das Wildcard *.netcup.net zurückliefert, ist die Konfiguration nicht richtig)


    Ist jetzt aber nichts Neues (und dem Support bekannt)