Verbindung zu dovecot IMAP Server schlägt fehl

Ich möchte Thunderbird 45.2.0 unter Arch Linux mit einen eigenen dovecot Server nutzen.
Der dovecot Server läuft ebenfalls unter Arch Linux und nutzt IMAP über STARTTLS mit einem Let's Encrypt Zertifikat.

Wenn man SSL-Tools glaubt ist alles ok, auch andere Clients haben keine Probleme eine Verbindung herzustellen, ich habe verschiedene Linux GUI Clients, das openssl Kommandozeilentool und K9 Mail unter Android probiert.
Hier ist die dovecot SSL verbosity Ausgabe und hier die SSL Einstellungen laut doveconf. Ich habe auch ein paar Logs von Thunderbird.

Ich habe auch schon mit den Leuten von #dovecot im Freenode IRC geredet, die meinem mit meinem Server ist alles in Ordnung.

Es scheint als ob Thunderbird die Plain Authentication ignoriert und dann meint dass keine anderen Loginmöglichkeiten vorhanden sind.

Jemand eine Idee?

Hi Peter,

Das Intermediate Certificate schicke ich mit. Dieses und das Root Zertifikat sind im Thunderbird im Trust Storage:

Einstellungen sind die selben wie in allen anderen Clients:

STARTTLS über hashworks.net:143 und Plain Authentication. Das funktioniert auch wenn ich das z.B. manuell über den openssl Client mache.

Ich habe im übrigen mal versucht das Zertifikat manuell hinzufügen, von alleine erscheint es nicht in der "Server" Spalte:

Das ändert aber nichts.

Meiner Ansicht nach ist die Zertifikatkette völlig korrekt, ich verstehe nicht warum Thunderbird dem Zertifikat nicht vertraut (vor allem da ich es ja auch manuell importiert habe zusätzlich).

Das Zertifikat in Thunderbird für hashworks.net hat den Fingerprint E1:D2:C0:E0:AE:C4:FC:96:BB:F1:83:ED:7E:0C:3A:AD:0E:A1:ED:C5, der selbe der auch von Dovecot ausgeliefert wird. Das ist vom 23.06.2016 bis 21.09.2016 gültig, also auch da kein Problem. Ausgestellt ist das von der Let's Encrypt Authority X3, deren Zertifikat den Fingerprint E6:A3:B4:5B:06:2D:50:9B:33:82:28:2D:19:6E:FE:97:D5:95:6C:CB hat, derselbe Fingerprint wie das Zertifikat in der Chain die Dovecot ausliefert Das läuft vom 17.03.2016 bis 17.03.2021. Thunderbird vertraut diesem CA und hat es auch gespeichert.
Dieses CA Zertifikat ist von DST Root CA X3 ausgestellt, Fingerprint E6:A3:B4:5B:06:2D:50:9B:33:82:28:2D:19:6E:FE:97:D5:95:6C:CB - der selbe Fingerprint wie das Zertifikat was Zertifikatsprüfer wie ssl-tools.net auch gespeichert haben. Thunderbird vertraut auch diesem, signiert ist das einmal selbst und dann noch zweimal vom DST Root CA X1.

Zusätzlich verwirrend ist dass ich die selbe Zertifikat-Kette auch für den nginx verwende, hier habe ich keinerlei TLS Probleme.

Habe es gerade erneut mit openssl geprüft:
openssl s_client -starttls imap -connect hashworks.net:143

Zitat von openssl Output

CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = hashworks.net
verify return:1
---
Certificate chain
0 s:/CN=hashworks.net
i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----
subject=/CN=hashworks.net
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 3983 bytes and written 459 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES128-GCM-SHA256
Session-ID: 17E502B2D04CF82EAF402E9FD4DA445E5456AF26BFCD0113E1F9B767A9F08AA5
Session-ID-ctx:
Master-Key: 7977F880463DA1B881613D564479924595B11D1D989F6957E6A1970C9878118A41BBD17DFEF654E7A78AB22800A1013B
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
[...]

Start Time: 1471513762
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
. OK Pre-login capabilities listed, post-login capabilities have more.
. login hashworks **********
* CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE SORT SORT=DISPLAY THREAD=REFERENCES THREAD=REFS THREAD=ORDEREDSUBJECT MULTIAPPEND URL-PARTIAL CATENATE UNSELECT CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH LIST-STATUS BINARY MOVE SPECIAL-USE
. OK Logged in

Alles anzeigen

Habe mir eben aus Jux mal ein Zertifikat von StartSSL austellen lassen. Mit denen geht es...

Habe allerdings schon Leute gefragt ob ihre Let's Encrypt Zertifikate mit Thunderbird funktionieren - das hatten sie bejaht. Ich hake da mal nach.

EDIT: Habe jetzt einen Bug-Report erstellt: https://bugzilla.mozilla.org/show_bug.cgi?id=1297636