AtNotes Übersicht Willkommen Gast. Bitte einloggen oder registrieren.
22.09.21 - 19:07:00
Übersicht Hilfe Regeln Glossar Suche Einloggen Registrieren
News:
Schnellsuche:
+  Das Notes Forum
|-+  Domino 9 und frühere Versionen
| |-+  ND9: Administration & Userprobleme (Moderatoren: Axel, Thomas Schulte, koehlerbv)
| | |-+  Zertifikate
« vorheriges nächstes »
Seiten: [1] Nach unten Drucken
Autor Thema: Zertifikate  (Gelesen 339 mal)
Ottoderxte
Aktives Mitglied
***
Offline Offline

Beiträge: 215


« am: 15.09.21 - 08:58:26 »

Hallo,
unser externer Sicherheitsbeauftragter hat gestern eine Mail mit folgendem Inhalt an meinen Chef geschrieben:

Das für die Identifikation des E-Mail-Servers verwendete Zertifikat enthält einen vom tatsächlichen E-Mail-Server abweichenden Server-Namen. Damit lässt sich die Authentizität des empfangenden Servers nicht mehr feststellen.
 



Server   mx.firmenname.de (123.113.123.123:25)

Classification   Risks: High

TLS    Normal TLS

TLS version   TLSv1.2

Certificates trusted   no (Hostname mismatch)

Certificates valid   yes

No revoked certificates   yes

Algorithms   TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, EC (256 Bit)

Security    Unknown

Delivery status    Delivery aborted due to policy reasons
   

Da ich mich damit noch nie beschäftigt habe. Fang ich mal hier an zu fragen.
Wo muß ich bitte nachschauen um diese Informationen auf meinem Server zu finden? Und ist das wirklich ein Problem?

Gruß Otto der xte

 
Gespeichert
schroederk
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 1767

Ich liebe dieses Forum!


« Antworten #1 am: 16.09.21 - 08:07:10 »

Naja, prüfe mal welchen Hostnamen dein Server beim Senden verwendet und welcher Hostnamen im vom Server verwendeten Zertifikat steht.
Da soll es eine Abweichung geben. Wenn das stimmt, solltest Du das in der Tat korrigieren oder zumindest den SPF auf der Domain setzen, andernfalls werden immer mehr Server eure Mails nicht mehr akzeptieren.
Gespeichert

Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?
Tode
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6620


Geht nicht, gibt's (fast) nicht... *g*


WWW
« Antworten #2 am: 16.09.21 - 09:22:49 »

WENN das SSL nicht von einem vorgeschalteten Proxy gehandelt wird, dann steht das Zertifikat in einer "Irgendeinname.kyr" die entweder im Serverdokument oder in einem Website- Dokument hinterlegt ist... Das bearbeiten / auslesen der kyr- Datei geht mit dem "kyrtool", das als separater Download erhältlich ist
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
schroederk
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 1767

Ich liebe dieses Forum!


« Antworten #3 am: 16.09.21 - 13:26:06 »

Wenn der Notes-Server auch über den Browser erreichbar ist, dann kann man sich dort auch das Zertifikat anzeigen lassen.
Gespeichert

Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?
Tode
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6620


Geht nicht, gibt's (fast) nicht... *g*


WWW
« Antworten #4 am: 16.09.21 - 14:42:28 »

Ja, anzeigen schon... Aber er muss ja wissen, wo er das dann korrigieren kann...
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
MaVo
@Notes Preisträger
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 528


Geht nicht - gibt´s nicht


« Antworten #5 am: 18.09.21 - 22:05:07 »

Wenn der Notes-Server auch über den Browser erreichbar ist, dann kann man sich dort auch das Zertifikat anzeigen lassen.

SSL Zertifikate können sich bei HTTP und SMTP unterscheiden, somit würde ich nicht mit dem Webbrowser das Zertifikat überprüfen.

openssl gibt detailiert Aufschluss über das ausgestellte Zertifikat
Code:
openssl s_client -connect mx.firmenname.de:25 -starttls smtp

und wo das Zertifikat hinterlegt ist, hat Torsten bereits zuvor beschrieben. --> https://atnotes.de/index.php/topic,63355.msg403842.html#msg403842
Gespeichert

Gruß
Martin

"The man with a new idea is a Crank until the idea succeeds." - Mark Twain
Seiten: [1] Nach oben Drucken 
« vorheriges nächstes »
Gehe zu:  


Einloggen mit Benutzername, Passwort und Sitzungslänge

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006, Simple Machines Prüfe XHTML 1.0 Prüfe CSS
Impressum Atnotes.de - Powered by Syslords Solutions - Datenschutz | Partner: