Verbindung zu dovecot IMAP Server schlägt fehl

  • Ich möchte Thunderbird 45.2.0 unter Arch Linux mit einen eigenen dovecot Server nutzen.
    Der dovecot Server läuft ebenfalls unter Arch Linux und nutzt IMAP über STARTTLS mit einem Let's Encrypt Zertifikat.


    Wenn man SSL-Tools glaubt ist alles ok, auch andere Clients haben keine Probleme eine Verbindung herzustellen, ich habe verschiedene Linux GUI Clients, das openssl Kommandozeilentool und K9 Mail unter Android probiert.
    Hier ist die dovecot SSL verbosity Ausgabe und hier die SSL Einstellungen laut doveconf. Ich habe auch ein paar Logs von Thunderbird.


    Ich habe auch schon mit den Leuten von #dovecot im Freenode IRC geredet, die meinem mit meinem Server ist alles in Ordnung.


    Es scheint als ob Thunderbird die Plain Authentication ignoriert und dann meint dass keine anderen Loginmöglichkeiten vorhanden sind.


    Jemand eine Idee?

  • Hallo hashworks, und willkommen im Forum! (<= Ist doch schön, begrüßt zu werden, oder?)


    Die Interdediate Certificates von Let's Encrypt hast du installiert und denen das Vertrauen ausgesprochen? (Die zur Cross-Signatur verwendeten Zertifikate von IdenTrust sind ja im TB bereits "eingebaut".)
    Welche Einstellung hast du im Thunderbird für die Authentifizierungsmethode vorgenommen?



    Mit freundlichen Grüßen!
    Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hi Peter,


    Das Intermediate Certificate schicke ich mit. Dieses und das Root Zertifikat sind im Thunderbird im Trust Storage:


    Einstellungen sind die selben wie in allen anderen Clients:


    STARTTLS über hashworks.net:143 und Plain Authentication. Das funktioniert auch wenn ich das z.B. manuell über den openssl Client mache.


    Ich habe im übrigen mal versucht das Zertifikat manuell hinzufügen, von alleine erscheint es nicht in der "Server" Spalte:


    Das ändert aber nichts.

  • Nimm dir mal dein Serverzertifikat vor, und betrachte es mit einem geeigneten Zertifikatsbetrachter (meinetwegen im Zertifikats-Manager des Thunderbird).
    Dann vergleiche alles, was das Herausgeberzertifikat deines Z. betrifft (Herausgeber, Fingerprint, Datum, usw.) genau mit dem bei dir vorliegenden Herausgeberzertifikat. Es muss alles übereinstimmen. Und dieses Zertifikat von LE muss wieder mit dem Herausgeberzertifikat von IdenTrust signiert sein. Der gesamte Vertrauensbaum musst stimmen.


    Die Fehlermeldung in deinem dritten Screenshot weist darauf hin, dass da was nicht stimmt.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Meiner Ansicht nach ist die Zertifikatkette völlig korrekt, ich verstehe nicht warum Thunderbird dem Zertifikat nicht vertraut (vor allem da ich es ja auch manuell importiert habe zusätzlich).


    Das Zertifikat in Thunderbird für hashworks.net hat den Fingerprint E1:D2:C0:E0:AE:C4:FC:96:BB:F1:83:ED:7E:0C:3A:AD:0E:A1:ED:C5, der selbe der auch von Dovecot ausgeliefert wird. Das ist vom 23.06.2016 bis 21.09.2016 gültig, also auch da kein Problem. Ausgestellt ist das von der Let's Encrypt Authority X3, deren Zertifikat den Fingerprint E6:A3:B4:5B:06:2D:50:9B:33:82:28:2D:19:6E:FE:97:D5:95:6C:CB hat, derselbe Fingerprint wie das Zertifikat in der Chain die Dovecot ausliefert Das läuft vom 17.03.2016 bis 17.03.2021. Thunderbird vertraut diesem CA und hat es auch gespeichert.
    Dieses CA Zertifikat ist von DST Root CA X3 ausgestellt, Fingerprint E6:A3:B4:5B:06:2D:50:9B:33:82:28:2D:19:6E:FE:97:D5:95:6C:CB - der selbe Fingerprint wie das Zertifikat was Zertifikatsprüfer wie ssl-tools.net auch gespeichert haben. Thunderbird vertraut auch diesem, signiert ist das einmal selbst und dann noch zweimal vom DST Root CA X1.


    Zusätzlich verwirrend ist dass ich die selbe Zertifikat-Kette auch für den nginx verwende, hier habe ich keinerlei TLS Probleme.



    Habe es gerade erneut mit openssl geprüft:
    openssl s_client -starttls imap -connect hashworks.net:143


    Einmal editiert, zuletzt von hashworks ()

  • Dann fällt mir leider auch nichts mehr ein.
    (Ich muss dazu sagen, dass ich selbst keinerlei Zertifikate von LE benutze, weil ich mein eigenes "Gerödel" nicht über Portweiterleitung+TLS, sondern nur über mein IPsec-VPN erreichbar mache. Deshalb kann ich was LE betrefft, nicht mit Erfahrung dienen.)



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!