Mail Server Synology DS-213j MailServer - Unbekanntes ZA Zertifikat

[Veraut]

Hallo,

verwende die Syno als Email Server, welcher von div. Mailaccounts die Daten automatisch abholt und dann via IMAP zur Verfügung stellt.
Funktioniert soweit einwandfrei (senden & empfangen).

Ich verwende als Email Client "TheBat!" und bekomme bei jeder Verbindung die Fehlermeldung "Unbekanntes ZA Zertifikat". Sobald ich "ok" klicke, dann geht auch alles einwandfrei. Selbiges beim Versand.

Wie kann ich die Fehlermeldung deaktivieren? (siehe attachment) Wie kommt man zu einem Zertifikat. Das Zertifikat, welches man mit der Syno ausstellen kann funktioniert ja leider nicht. oder hab ichs nur falsch eingerichtet ?



Herzlichen Dank für die Hilfe
Patrick

 

[joku]

Wie kann ich die Fehlermeldung deaktivieren? (siehe attachment)

Hallo, zu den Vertrauenswürdigen hinzufügen ? Gruß Jo

 

[Peter_Lehmann]

Hallo Patrick,

das, was du da eine Fehlermeldung nennst, ist die völlig korrekte Warnung, welche ein Browser oder ein Mailclient oder irgend ein anderes Programm ausgeben muss, wenn es eine Zertifikatsprüfung macht und ein nicht vertrauenswürdiges Zertifikat erkennt. Und um ein solches handelt es sich ja wohl.

Im Inneren unserer DS werkelt ein Script (ssh-keygen), welches bei Bedarf ein selbst signiertes Zertifikat ausstellt. Da dieses nicht von einem etablierten TrustCenter signiert wurde, muss dieses als nicht vertrauenswürdig eingestuft werden WOWEREIT!

So lange nur du oder ein kleiner überschaubarer Kreis diese Verbindung nutzt, kannst du bzw. können deine Nutzer dieser Verbindung auch ohne das Vorhandensein von Herausgeberzertifikaten mit Hilfe von "Ausnahmeregeln" diesem Zertifikat bewusst das Vertrauen aussprechen. Das ist bei den meisten Browsern und Mailclients ganz einfach möglich. Wie es beim "The Bat!" geht, weiß ich allerdings nicht. Die Sicherheit der Verschlüsselung der Verbindung beeinträchtigt ein derartiges "nicht vertrauenswürdiges" Zertifikat nicht!

Solltest du allerdings beabsichtigen, dein Serverchen einem großen Publikum zur Verfügung zu stellen, dann solltest du dich um ein von einem etablierten TrustCenter herausgegebenen Zertifikat bemühen und dieses in deine DS importieren. Ein "richtiges", vertrauenswürdiges Zertifikat gibt es allerdings nicht für lau ... . (Wenn man mal von Herausgebern absieht, denen ich aus anderen Gründen nie vertrauen würde.)

HTH

MfG Peter

 

[Veraut]

Hallo Peter,

danke für deine Antwort.

Grundsätzlich verwenden nur 4 Personen diesen Email Server, also ein überschaubarer Kreis

Okay, muß ich mich beim TheBat schlau machen, ob es dort solch eine Einstellung gibt, wie ich anfangs dort den Fehler vermutet habe, habe ich leider nichts gefunden ;(

Lieber Gruss
Patrick

 

[Peter_Lehmann]

Wie schon gesagt, "The Bat!" ist bei mir schon sehr lange her.
Es gibt noch eine andere Möglichkeit, welche immer funktioniert:
Bei diesem selbst signierten Zertifikat handelt es sich ja um ein Zertifikat, welches gleichzeitig ein Serverzertifikat (das der DS) aber auch ein Herausgeberzertifikat ist. Weil eben selbstsigniert. Normalerweise völlig unüblich für ein Serverzertifikat. (Bei einem richtigen TrustCenter ist das oberste Herausgeberzertifikat immer selbst signiert. Zum Bsp. das root-Z. des BSI.)
Du kannst dieses Zertifikat auf zweierlei Arten aus der DS exportieren. Zum einen über die offizielle Exportfunktion aus dem DSM > Sicherheit > Zertifikat (als ZIP-Datei) oder auch, indem du mit einem Browser eine https-Verbindung zu DS machst und dann auf das Schloss klickst, welches die gesicherte Verbindung anzeigt. Auch von dort aus kannst du das Zertifikat ansehen und exportieren. Bei der Methode über den Browser kommst du selbstverständlich nur an das reine Zertifikat (öffentlicher Schlüssel) heran (gut so!). Beim Export aus dem DSM musst du aufpassen, dass du nur das Zertifikat und niemals den key verwendest (aus der Hand gibst).

Dieses Zertifikat kannst du jetzt bei dir (und später bei deinen Freunden) in den Zertifikatsstore des Browsers oder Mailclients oder des Betriebssystems unter "Herausgeberzertifikate" importieren und falls möglich, ihm dort das Vertrauen aussprechen. Damit haben diese Programme den erforderlichen vertrauenswürdigen Herausgeber und erkennen jetzt das Zertifikat des Servers als vertrauenswürdig an.

Das ist zwar ein übler Trick, aber im Endeffekt macht dieser nichts anderes, als das manuelle Anlegen einer Ausnahme. Wenn du das Zertifikat selbst aus der eigenen DS exportierst, kannst du es ruhigen Gewissens als ein vertrauenswürdiges Zertifikat betrachten. Du könntest dieses sogar auf deiner Webseite zum Download anbieten. Es ist ein "Zertifikat" und besteht nur aus dem öffentlichen Schlüssel und den sonstigen Zertifikatsdaten. Ein Missbrauch ist damit ausgeschlossen. Es ist eben "öffentlich".

OK?