fetchmail und SSL-Zertifikate

[Alternativende]

Hallo zusammen,
ich habe ein kleines Problem auf Sicht mit meinem fetchmail. Dieser holt bei unserem Anbieter die Mails per POP3s ab und verteilt sie mit postfix an unseren internen Exchangeserver. Soweit so gut, es funktioniert auch bestens. Nun ist es aber so das sich das Zertifikat beim Anbieter gelegentlich erneuert, wenn es abgelaufen ist bspw. und dann ändert sich auch der Fingerabdruck der für jedes Konto in der fetchmailrc angegeben ist.

Gibt es eine Möglichkeit die Mails auch ohne den Fingerprint abzurufen?


Hier mal ein Auszug aus der fetchmailrc

Code: Alles auswählen

poll cloud5.de-meins.de with proto POP3 
       user 'schubidu@meine-domain.de' there with password 'XXXXXXX' is 'schubidu' here options ssl sslfingerprint "41:B0:DA:2F:92:67:D4:E9:86:71"

Logischerweise läuft das Zertifikat nämlich immer am ersten Tag meines Urlaubs aus .

Danke für die Tipps!

[mludwig]

Erste Möglichkeit: Fetchmail anweisen, das Herausgeberzertifikat zu prüfen, nicht das Zertifikat selbst. siehe http://bronski.net/data/fetchmail-eng.php

Alternative Möglichkeit: Urlaub verschieben

[Alternativende]

Aber wenn das Zertifikat ausläuft bin ich doch genauso weit wie vorher oder?

If the certificate expires mail polling fails

[mludwig]

Code: Alles auswählen

defaults:
 	proto pop3 timeout 300 sslproto 'TLS1' ssl
 	sslcertfile /usr/ssl/certs/ca-bundle.trust.crt
 	sslcertck
 	limit 50000000 warnings 86400

Sollte nach meinem Verständnis prüfen, ob ein gültiges (signiertes) Zertifikat vorliegt, fingerprints braucht man da nicht vom Servercert. Das sslcertfile enthält die root-certs, die ja hoffentlich länger gültig sind als 12 Monate ...

mludwig

[Alternativende]

Ok wenn Du das sagst. Ich probiere das mal nächste Woche aus. Danke!

[scientific]

Ich hatte das Problem mit den fingerprints auch... Da fand ich mal eine Lösung, die einmal pro Tag die Fingerprints erneuerte... In jeder .fetchmailrc jedes Users...

Und dann funktionierte das erst recht wieder nicht.
Mal klappte es nicht, dann war es einen Tag zu spät usw...

Jedenfalls hab ich auf die Prüfung der Serverzertifikate wie genannt umgebaut... Und das lãuft jetzt seit mehr als 3 Jahren problemlos.

Die Serverzertifikate für die gängigen ca liefert apt. Täglich updaten, dann gibts damit auch keine Probleme.

Lg scientific

[Alternativende]

Hallo,
so ich glaube ich habe es nun soweit fertig:

Code: Alles auswählen

poll cloud5-meinserver.de with proto POP3
       user 'hs@meinserverde' there with password 'XXXXXX' is 'vhs' here options ssl sslfingerprint "8C:AA:FD:8D:4D:D3:41:XX:XX:XX:XX"
       sslcertck
       sslcertpath /usr/local/src/fetchmail

Funktioniert scheinbar gut und der nächste Urlaub kann kommen, falls ihr keine Einwände mehr habt .

[mludwig]

Da steht ja doch wieder ein sslfingerprint drin, d. h. wenn der sich ändert fällt dein Urlaub ins Wasser ... Sollte wie gesagt ohne gehen, so denn unter dem sslcertpath bei dir die gewünschten Root-CAs zu finden sind.

schönen Urlaub wünscht

mludwig

[Alternativende]

Funktioniert auch ohne den Fingerprint jetzt.

Vielen Dank für die Hilfe!