Thunderbird kann sich nicht per imapd-ssl mit Mailserver verbinden

[steos]

Hallo mitsammen,

ich raufe mir hier schon seit Tagen die Haare und komme selbst nach drei Tagen Googeln und erfolglosem Herumprobieren nicht weiter. Mittlerweile gehen mir die Ideen aus, woran's scheitern könnte...

Bei mir läuft auf einem internen Server (nur über das Intranet erreichbar) Bullseye mit allen Updates in einer Basisinstallation; exim4 und courier wurden wie folgt installiert:

Code: Alles auswählen

...# apt-get install exim4-daemon-heavy courier-authdaemon courier-imap courier-pop swaks libnet-ssleay-perl ssl-cert

Nachdem der Server nur intern verfügbar ist, wird ein selbstsigniertes Zertifikat verwendet.

Die entsprechenden Dienste laufen

Code: Alles auswählen

...# rcconf
...
[*] courier-authdaemon
[*] courier-imap
[*] courier-imap-ssl
[*] courier-pop
[*] courier-pop-ssl
...

Die Firewall (ufw) habe ich vorüberrgehend deaktiviert, um blockierte Ports ausschließen zu können.

Thunderbird (Win10) kann sich über IMAP (Port 143) problemlos ungesichert mit dem Server verbinden -- nicht jedoch über SSL/TLS (Port 993). Ich bin bereits server- und clientseitig alle Einstellungen durchgegangen, alle Versuche mich über SSL/TLS zu verbinden blieben leider erfolglos.

Verbinde ich mich testweise mit einem anderen Linux-Rechner vermöge

Code: Alles auswählen

...# openssl s_client -connect <Server-IP>:993

dann klappt der Verbindungstest:

Code: Alles auswählen

CONNECTED(00000003)
Can't use SSL_get_servername
depth=0 CN = localhost, OU = Automatically-generated IMAP SSL key, O = Courier Mail Server, L = New York, ST = NY, C = US
verify error:num=18:self signed certificate
verify return:1
depth=0 CN = localhost, OU = Automatically-generated IMAP SSL key, O = Courier Mail Server, L = New York, ST = NY, C = US
verify return:1
---
<...>
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 1947 bytes and written 363 bytes
Verification error: self signed certificate
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 3072 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 18 (self signed certificate)
---

Verbinde ich mich Thunderbird, poppt folgende Fehlermedlung auf:

Es trat ein nicht überschreibbarer TLS-Fehler auf. Entweder handelt es sich um einen Handshake-Fehler oder wahrscheinlich ist die TLS-Version oder das Zertifikat des Servers 192.168.150.124 inkompatibel

bzw.

Non-overridable TLS error occurred. Handshake error or probably TLS version or certificate used by server 192.168.150.124 is incompatible.

In /var/log/mail.log finden sich dann folgende zugehörige Einträge:

Code: Alles auswählen

Dec 26 13:21:27 <hostname> imapd-ssl: ip=[::ffff:<IP-Adresse>], Certificate is bad

Ich kann das Serverzertifikat in Thunderbird nicht importieren und eine dauerhafte Exception definieren, da mir unter

Datenschutz & Sicherheit > Zertifickate verwalten > Server > Ausnahme hinzufügen > <IP-Adresse:993> > Zertifikat herunterladen

lediglich die Meldung

Keine Informationen verfügbar
Der Identifikationsstatus für diese Website konnte nicht bezogen werden.

angezeigt wird.

Ich habe auch bereits versucht ein neues Zertifikat über

Code: Alles auswählen

...# mkimapdcert

erstellen -- ebenfalls erfolglos.

Fazit: Alles was in in den vergangenen Tagen über Googeln ausgegraben habe und propiert habe, hat mich nicht weitergebracht.

Habt ihr noch eine Idee, wo ich weitergraben kann? Habe mittlerweile keine Idee mehr...

LG,
Stef

[steos]

Was ich vergessen habe: ich habe bereits seit Jahren einen Mailserver unter Buster am Laufen, den ich nun durch den neuen Server (Bullseye, Neuinstallation) ersetzen möchte. Die Installation ist praktisch die selbe, die Konfiguration der beiden Server ist identisch und Thunderbird kann sich mit dem Server unter Buister seit jahren problemlos verbinden.

Keine Ahnung was nun bei Bullseye anders ist...