Autor Thema: Zertifikate  (Gelesen 1917 mal)

Offline Ottoderxte

  • Aktives Mitglied
  • ***
  • Beiträge: 216
Zertifikate
« am: 15.09.21 - 08:58:26 »
Hallo,
unser externer Sicherheitsbeauftragter hat gestern eine Mail mit folgendem Inhalt an meinen Chef geschrieben:

Das für die Identifikation des E-Mail-Servers verwendete Zertifikat enthält einen vom tatsächlichen E-Mail-Server abweichenden Server-Namen. Damit lässt sich die Authentizität des empfangenden Servers nicht mehr feststellen.
 



Server   mx.firmenname.de (123.113.123.123:25)

Classification   Risks: High

TLS    Normal TLS

TLS version   TLSv1.2

Certificates trusted   no (Hostname mismatch)

Certificates valid   yes

No revoked certificates   yes

Algorithms   TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, EC (256 Bit)

Security    Unknown

Delivery status    Delivery aborted due to policy reasons
   

Da ich mich damit noch nie beschäftigt habe. Fang ich mal hier an zu fragen.
Wo muß ich bitte nachschauen um diese Informationen auf meinem Server zu finden? Und ist das wirklich ein Problem?

Gruß Otto der xte

 

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Re: Zertifikate
« Antwort #1 am: 16.09.21 - 08:07:10 »
Naja, prüfe mal welchen Hostnamen dein Server beim Senden verwendet und welcher Hostnamen im vom Server verwendeten Zertifikat steht.
Da soll es eine Abweichung geben. Wenn das stimmt, solltest Du das in der Tat korrigieren oder zumindest den SPF auf der Domain setzen, andernfalls werden immer mehr Server eure Mails nicht mehr akzeptieren.
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: Zertifikate
« Antwort #2 am: 16.09.21 - 09:22:49 »
WENN das SSL nicht von einem vorgeschalteten Proxy gehandelt wird, dann steht das Zertifikat in einer "Irgendeinname.kyr" die entweder im Serverdokument oder in einem Website- Dokument hinterlegt ist... Das bearbeiten / auslesen der kyr- Datei geht mit dem "kyrtool", das als separater Download erhältlich ist
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Re: Zertifikate
« Antwort #3 am: 16.09.21 - 13:26:06 »
Wenn der Notes-Server auch über den Browser erreichbar ist, dann kann man sich dort auch das Zertifikat anzeigen lassen.
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: Zertifikate
« Antwort #4 am: 16.09.21 - 14:42:28 »
Ja, anzeigen schon... Aber er muss ja wissen, wo er das dann korrigieren kann...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline MaVo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 543
  • Geschlecht: Männlich
  • Geht nicht - gibt´s nicht
Re: Zertifikate
« Antwort #5 am: 18.09.21 - 22:05:07 »
Wenn der Notes-Server auch über den Browser erreichbar ist, dann kann man sich dort auch das Zertifikat anzeigen lassen.

SSL Zertifikate können sich bei HTTP und SMTP unterscheiden, somit würde ich nicht mit dem Webbrowser das Zertifikat überprüfen.

openssl gibt detailiert Aufschluss über das ausgestellte Zertifikat
Code
openssl s_client -connect mx.firmenname.de:25 -starttls smtp

und wo das Zertifikat hinterlegt ist, hat Torsten bereits zuvor beschrieben. --> https://atnotes.de/index.php/topic,63355.msg403842.html#msg403842
Gruß
Martin

"The man with a new idea is a Crank until the idea succeeds." - Mark Twain

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz