Sicherheitsfehler im Mailclient

**Carpeventum** · 29.02.2008 14:28

Hallo zusammen,

ich erhalte bei jedem Neustart des Emailclients diese Meldung:

Sicherheitsfehler: Domainnamen stimmen nicht überein

Sie haben versucht eine Verbindung mit "IPADRESSE" aufzubauen. Allerdings gehört das "vorgezeigte" Sicherheitszertifikat "servername.net", usw...

Was kann man tun, damit diese Fehlermeldungen nicht mehr erscheinen? Für den Thunderbird gibt es eine Art "Blocker", aber das ist keine saubere Lösung. Der X.509 Key ist auf den Hostnamen des Servers ausgestellt, mit Domainerweiterung. Dieser Name ist am internen DNS-Server eingetragen, ebenso in den Mailclients für den Emailserver. Vergleicht der Mailclient nun Äpfel mit Birnen? Eine IP-Adresse mit einem im Zertifikat angegebenen Hostnamen? Die Meldung tritt unabhängig vom Clientprogramm auf, Thunderbird und Outlook.

Vielen Dank!

**Carpeventum** · 03.03.2008 08:48

Hm, ich habe bisher leider keine Möglichkeit gefunden, diese Meldung abzuschalten. Ich habe versucht die SSL-Verschlüsselung auf Passwort oder keine umzuschalten, leider kann man sich dann nicht mehr vom Emailclient aus mit dem Intranator verbinden.

**Thomas Jarosch** · 03.03.2008 09:53

Hallo,

der im Emailclient hinterlegte Servername muss exakt zum /CN= Feld des Zertifikats passen. Wenn Sie z.B. im Mailprogramm immer die IP-Adresse des Intranators eingestellt haben, so muss auch im Zertifikat die IP-Adresse stehen.

Herzliche Grüsse,
Thomas Jarosch

**Carpeventum** · 03.03.2008 10:30

Hallo Herr Jarosch,

ich habe ein weiteres Zertifikat mit der CN=[IP-Adresse] erstellt und dieses im Intranator eingebunden. Der Client lässt sich davon nicht beeindrucken, er sagt:

"... Verbindung mit [IP-Adresse] aufzubauen...
... das Sicehrheitszertifikat gehört [Servername.net.local]..."

**Thomas Jarosch** · 03.03.2008 10:32

Zitat von Carpeventum

... dieses im Intranator eingebunden.

Nur zur Sicherheit: Haben Sie das neue Zertifikat unter "System > Sicherheit" aktiviert?

Herzliche Grüsse,
Thomas Jarosch

**Carpeventum** · 03.03.2008 10:37

Ja, das habe ich dort eingebunden. Der Name des Zertifikats sollte dabei keine Rolle spielen, richtig?

**Thomas Jarosch** · 03.03.2008 11:59

Hallo,

der Name im Intranator spielt keine Rolle, wichtig ist das "/CN=" Feld auf dem Reiter "Daten" bei "System > Schlüssel > Eigene Schlüssel". Was ist denn dort eingetragen?

Herzliche Grüsse,
Thomas Jarosch

**Carpeventum** · 03.03.2008 12:08

Hallo,

so, die Fehlermeldung erscheint nicht mehr, ein hausgemachtes Problem mit dem DNS-Server und der Domain... Nach Behebung dessen und i.V. mit Ihrem Vorschlag zur Änderung des Hostnames des Servers auf dessen IP im Zertifikat... Bei der Prüfung der Konfiguration erscheint zwar nun
Der Rechnername (CN) ist nicht gleich dem Intranator Namen
aber das kann man vernachlässigen.

Vielen Dank!

**Carpeventum** · 19.03.2008 08:36

Guten Morgen zusammen,

ich muss dieses Thema nochmal hervorkramen... ;-) Das Problem ist auf allen Rechnern gelöst, alleine der einzige genutzte Outlook 2002-Client macht bei jedem Abrufen/Versenden Probleme...

"Intenretsicherheitshinweis
Der Server, mit dem Sie verbunden sind, verwendet ein Sicherheitszertifikat, das nicht verifiziert werden konnte.

Der CN-Name des Zertifikats stimmt nicht mit dem übergebenen Wert überein.

Möchten Sie diesen Server weiterhin verwenden?"

Da der Intranator nicht in der lokalen Domäne hängt, ist bei den Clients als POP3/SMTP-Server eine IP gespeichert. Die DNS-Auflösung machte Schwierigkeiten mit dem Domänensuffix. Daraufhin haben wir den Server aus dem DNS entfernt, einen Schlüssel mit dem Namen des Servers im CN erstellt und bei den Clients die IP eingetragen. Dies lief auf allen Clients bisher fehlerfrei - bis eben auf diesen einen Outlook 2002. Selbst bei den Outlook 2000-Clients läuft es fehlerfrei. Ein Downgrade ist leider nicht möglich. Ich habe bereits versucht ein Zertifikat im IE des 2002-Clients einzusetzen, dies brachte allerdings keine Lösung. Ist es eigentlich entscheidend, in welcher Kategorie das Zertifikat liegt?
Eine alternative Lösung, die ich zwischenzeitlich schonmal kurz getestet habe, wäre ein Zertifikat mit der IP des Servers im CN zu erstellen - dann meckert die Diagnose des Intranators.

Habe ich etwas übersehen?

Vielen Dank!

**Thomas Jarosch** · 19.03.2008 18:14

Hallo,

Zitat von Carpeventum

Eine alternative Lösung, die ich zwischenzeitlich schonmal kurz getestet habe, wäre ein Zertifikat mit der IP des Servers im CN zu erstellen - dann meckert die Diagnose des Intranators.

Der Intranator gibt nur einen Hinweis aus, daß es nicht zu den DNS-Einstellungen passt. Wenn Sie überall die IP-Adresse verwenden, haben Sie dadurch keinen Nachteil. Allerdings sollten Sie dann den Intranator immer über die IP-Adresse ansprechen.

Das ein Client (Outlook 2002) meckert, wenn der Servername (in diesem Fall eine IP-Adresse) nicht zum /CN= Feld des Zertifikats passt ist richtig und sollte auch so sein. Mich wundert das es in Outlook 2000 oder 2003 funktionert

Herzliche Grüsse,
Thomas Jarosch

**Carpeventum** · 20.03.2008 07:51

Hallo Herr Jarosch,

ja, das wundert mich in der Tat auch.

Ich werde mal noch über einen host-Eintrag auf dem 2002-Client versuchen, diese Fehlermeldung zu deaktivieren - vermute aber, dass das keine Wirkung zeigen wird. - Alternativ bliebe dann nur, mit dem CN=IP zu leben, wobei das kein sauberes Handwerk ist.

Vielen Dank!

Thema: Sicherheitsfehler im Mailclient

Themen-Optionen

Thema bewerten

Anzeige

Sicherheitsfehler im Mailclient

Berechtigungen