Das Notes Forum

Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: Ottoderxte am 15.09.21 - 08:58:26

Titel: Zertifikate
Beitrag von: Ottoderxte am 15.09.21 - 08:58:26

Hallo,
unser externer Sicherheitsbeauftragter hat gestern eine Mail mit folgendem Inhalt an meinen Chef geschrieben:

Das für die Identifikation des E-Mail-Servers verwendete Zertifikat enthält einen vom tatsächlichen E-Mail-Server abweichenden Server-Namen. Damit lässt sich die Authentizität des empfangenden Servers nicht mehr feststellen.
 



Server   mx.firmenname.de (123.113.123.123:25)

Classification   Risks: High

TLS    Normal TLS

TLS version   TLSv1.2

Certificates trusted   no (Hostname mismatch)

Certificates valid   yes

No revoked certificates   yes

Algorithms   TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, EC (256 Bit)

Security    Unknown

Delivery status    Delivery aborted due to policy reasons
   

Da ich mich damit noch nie beschäftigt habe. Fang ich mal hier an zu fragen.
Wo muß ich bitte nachschauen um diese Informationen auf meinem Server zu finden? Und ist das wirklich ein Problem?

Gruß Otto der xte

 

Titel: Re: Zertifikate
Beitrag von: schroederk am 16.09.21 - 08:07:10

Naja, prüfe mal welchen Hostnamen dein Server beim Senden verwendet und welcher Hostnamen im vom Server verwendeten Zertifikat steht.
Da soll es eine Abweichung geben. Wenn das stimmt, solltest Du das in der Tat korrigieren oder zumindest den SPF auf der Domain setzen, andernfalls werden immer mehr Server eure Mails nicht mehr akzeptieren.

Titel: Re: Zertifikate
Beitrag von: Tode am 16.09.21 - 09:22:49

WENN das SSL nicht von einem vorgeschalteten Proxy gehandelt wird, dann steht das Zertifikat in einer "Irgendeinname.kyr" die entweder im Serverdokument oder in einem Website- Dokument hinterlegt ist... Das bearbeiten / auslesen der kyr- Datei geht mit dem "kyrtool", das als separater Download erhältlich ist

Titel: Re: Zertifikate
Beitrag von: schroederk am 16.09.21 - 13:26:06

Wenn der Notes-Server auch über den Browser erreichbar ist, dann kann man sich dort auch das Zertifikat anzeigen lassen.

Titel: Re: Zertifikate
Beitrag von: Tode am 16.09.21 - 14:42:28

Ja, anzeigen schon... Aber er muss ja wissen, wo er das dann korrigieren kann...

Titel: Re: Zertifikate
Beitrag von: MaVo am 18.09.21 - 22:05:07

Zitat von: schroederk am 16.09.21 - 13:26:06

Wenn der Notes-Server auch über den Browser erreichbar ist, dann kann man sich dort auch das Zertifikat anzeigen lassen.

SSL Zertifikate können sich bei HTTP und SMTP unterscheiden, somit würde ich nicht mit dem Webbrowser das Zertifikat überprüfen.

openssl gibt detailiert Aufschluss über das ausgestellte Zertifikat

Code

openssl s_client -connect mx.firmenname.de:25 -starttls smtp

und wo das Zertifikat hinterlegt ist, hat Torsten bereits zuvor beschrieben. --> https://atnotes.de/index.php/topic,63355.msg403842.html#msg403842