Mail Server Zertifikatfehler bei Mail und DSM aber nicht bei Roundcube?

[wired2051]

Für die DS habe ich keine Domain, stattdessen nutze ich DynDNS (name.noip.me mit Port). Um das Thema Zertifikat habe ich mich (noch) nicht gekümmert, kenne mich also nicht aus.

Heute haben die eMail-Clients (PC, Mobiltelefone) einen Zertifikatfehler gemeldet. Wenn ich mit mit https://IP_DER_DS:5001/ einloggen will, meldet Firefox ein Mögliches Sicherheitsrisiko. Wenn ich Roundcube mit ID_DER_DS/mail/ starte, läuft alles normal und ich kann Mails lesen.

Synology Inc. CA
Das Zertifikat passt nicht auf den fraglichen Rechner
Das Zertifikat der Beglaubigungsstelle ist ungültig
Das Zertifikat kann aus internen Gründen nicht überprüft werden
Di. Jan. 7 23:17:29 2025 GMT bis Do. Jan. 8 23:17:29 2026 GMT

Warum wird ein Zertifikat mit abgelaufener Gültigkeit angezeigt?

Ist es normal, dass Roundcube dennoch funktioniert?

Muss ich mir Sorgen machen oder kann ich beruhigt wieder vertrauen wählen?

 

[Rotbart]

Wenn du über die IP auf deine DS zugreifst wird das Zertifikat (wenn du eins hast) nicht akzepiert weil es ja für z.b. "meine.nas.me" ausgestellt ist und nicht für "192.168.1.4"
Solange du nur ein deinem Netz bist ist das kein Problem, kannst also der Verbindung zwischen deiner DS und dem PC vertrauen.Roundcube nutze ich nicht, aber wahrscheinlich greifst du nicht über eine verschlüsselte Verbindung darauf zu.

 

[JohneDoe]

Wieso liest man hier immer wieder, dass man intern keine Verschlüsselung brauch? Die meisten Angriffe finden von intern und nicht extern statt. Man hat vielleicht diverse IoT Sachen im WLAN hängen, weil nicht jeder hat ein eigenes VLAN dafür. Und wenn man sich dann was eingefangen hat, dann kann das noch schön weiter alles mitlesen.... Das ist in meinen Augen ein sehr schlechter Rat immer zu schreiben, dass man intern keine Verschlüsselung braucht. Sogar Fahrlässig.....
Es ist echt kein Hexenwerk auch intern HTTPS zu verwenden. Auch mit einem gültigen Zertifikat.

 

[heavy]

dann schreibe doch mal wie man intern ein Zertifikat einrichtete was von allen Browsern und sonstigen Geräten akzeptiert wird.

 

[JohneDoe]

In dem man Lets Encrypt verwendet? Wenn man keine Ports öffnen will, dann nutzt man DNS Challenge. Wenn man keine eigene Domain hat, dann kann man dafür synology.me nutzen oder DuckDNS. Beim ersten muss man sich um die Zertifikate gar nicht kümmern und beim zweiten kann man DNS Challenge verwenden.

 

[Rotbart]

Wieso liest man hier immer wieder, dass man intern keine Verschlüsselung brauch?

Wo steht den das ? Ich kann auch eine https Verbindung zu einem Server aufbauen ohne das mir ein dritter bestätigt das es meine DS ist. Es gibt auch Leute deren Netzinfrastruktur nur aus einem Router einem NAS und einem PC besteht.
Generell gebe ich dir aber recht das man nach möglichkeit verschlüsselte Verbindungen auch im Heimnetz verwenden sollte.

 

[JohneDoe]

Stimmt in diesem Fall habe ich mich verlesen bzw. etwas überlesen. Tut mir leid. Aber ich habe das in diesem Forum schon häufiger gelesen und daher der Kommentar.

 

[wired2051]

Ich greife mit https://IP_DER_DS auf die DS zu. Habe aber das Zertifikat-Problem.

Was ist DNS Challenge? Noch nie gehört.

synology.me benötigt kein Zertifikat? Benötigt man ein Synology-Konto?

 

[JohneDoe]

Ich greife mit https://IP_DER_DS auf die DS zu. Habe aber das Zertifikat-Problem.

Für eine IP wirst du nie ein gültiges (von einer CA) Zertifikat bekommen und die Meldung wird daher immer da sein.

Was ist DNS Challenge?

Eine Methode wie du nachweisen kannst, dass die Domain, für die du ein Zertifikat beantragst auch dir gehört. Statt Ports zu öffnen läuft das über DNS Records.

synology.me benötigt kein Zertifikat? Benötigt man ein Synology-Konto?

Das Zertifikat ist da inklusive beim Anmelden. Ja brauchst ein Konto soweit ich weiß

 

[wired2051]

Ich will keine Domain, deshalb dynDNS. Bisher dachte ich, für dynDNS gibt es keine Zertifikate, Irrtum?

DNS Records - wieder ein Thema, das mich nach erster Recherche überfordert. Ich verstehe das Prinzip, scheue aber den Aufwand. Ich bin kein Netzwerkspezialist (und will es nicht werden).

Also weiterhin dynDNS von no-ip und ein Zertifikat von Lets Encrypt oder synology.me mit Synology-Konto (mit QuickConnect, DDNS)?

 

[JohneDoe]

Bisher dachte ich, für dynDNS gibt es keine Zertifikate, Irrtum?

Ja ist ein Irrtum. Du kannst auch ein Zertifikat von lets encrypt für dyndns bekommen.

Synology.me wäre DynDns. Aber du kannst es auch nur intern verwenden und die Domain auf deine interne auflösen lassen. Dann musst du keine Ports öffnen. Wenn du es auf deine öffentliche IP auflöst dann musst du Ports öffnen. Und wegen deinem zweiten Absatz würde ich es eher lassen. Da sollte man wissen was man da tut und welche Vorkehrungen man treffen sollte.

 

[wired2051]

Du meinst ein Zertifikat für name.noip.me/contacts eines für name.noip.me/calendar und eines für name.noip.me/mail? Und das geht nur mit synology.me (=Synology-Konto)? Und dann lösche ich die Portweiterleitungen/-freigaben im Router?

Du meinst vermutlich den 2. Absatz von #10...

 

[JohneDoe]

Wenn du von außen nicht zugreifen willst, dann musst du keine Ports öffnen. Dann kannst du es über synology.me lösen. Da musst du keine Ports öffnen. Wenn du einen anderen Anbieter nutzt und dieser keine DNS Challenge anbietet, dann musst du Ports öffnen. Mindestens um das Zertifikat zu holen/erneuern.

Und ja ich meine den zweiten Absatz in #10.

Zertifikat für name.noip.me/contacts eines für name.noip.me/calendar und eines für name.noip.me/mail?

Das wär immer das selbe Zertifikat. Es ist die selbe Domain. Nur der Pfad ändert sich bei dir.

 

[wired2051]

Ich möchte von aussen mit Mobiltelefon und Laptop zugreifen (Kalender, Kontakte, Mail, Files und Photos) und ich möchte keine Domain.

Ich benötige also ein Zertifikat für https:/name.noip.me und Portfreigaben? Oder synology.me (=Synology-Konto?) und keine Portfreiaben?

Oder besser VPN einrichten? Ist das dann ein Tunnel vom Telefon/Laptop zum Router, der die Anfragen an die DS weiterleitet? (Das wäre dann wohl ein neuer Thread.)

 

[JohneDoe]

Sorry, aber dir fehlen die kompletten Grundlagen. Lies dich doch erstmal ein. Du wirst dadurch nicht zum Netzwerkspezialisten. Wenn du von außen zugreifen willst, dann kannst du quick connect nutzen. Das liefert ein Zertifikat mit, läuft aber alles über Synology Server. Dyndns musst du wie gesagt Ports öffnen und dich um ein Zertifikat selber kümmern. Ausnahme Synology.me. Da musst du auch Ports öffnen, wenn du von außen zugreifen willst, aber das Zertifikat wird gestellt. Möglichkeit 3 wär VPN. Aber um da ein Zertifikat zu bekommen brauchst du einen Anbieter der DNS Challenge unterstützt oder Synology.me nutzen und intern auflösen. Aber lies dich doch mal überhaupt ein. Das Internet ist voll von sowas. Mit deinen Kenntnissen würde ich meine NAS nicht ins Internet stellen....

 

[wired2051]

Vielen Dank für Eure Hilfsbereitschaft bis hier her. Ich verstehe, dass es mühsam bis nervig ist, immer wieder fehlendes Basiswissen aufzufüllen!

Aber eine Aufzählung von Möglichkeiten hilft mir nicht wirklich weiter. Ich bin jetzt schon seit fast einer Woche ohne Kalender und Mail auf dem Telefon, ich brauch daher möglichst heute eine Lösung, denn das nächste Wochenende ist schon verplant. Deshalb wage ich zu fragen:

Was ist die sicherste Methode mit möglichst geringen Aufwand (also für Dummies)?

Dann weiss ich, welche Infos ich suchen sollte.

 

[JohneDoe]

Aber wenn man dir die Möglichkeiten nennt, dann kannst du danach doch selber suchen. Hier wird wahrscheinlich niemand das Problem für dich lösen.
Hol dir eine synology.me Domain die auf deine interne IP auflöst und verbinde dich mit VPN.

 

[heavy]

dann schreibe doch mal wie man intern ein Zertifikat einrichtete was von allen Browsern und sonstigen Geräten akzeptiert wird.

Es ist echt kein Hexenwerk auch intern HTTPS zu verwenden. Auch mit einem gültigen Zertifikat.

Du schreibst es wäre INTERN kein Problem Zertifikate zu nutzen. Deshalb fragte ich wie dass gehen soll und dann schreibst du selber weiter

Für eine IP wirst du nie ein gültiges (von einer CA) Zertifikat bekommen und die Meldung wird daher immer da sein.

Also widersprichst du dir ja selber und meinen kleinen (unterschwelligen) Hinweis hast du dahingehend nicht verstanden. Ja man kann später intern mit Zertifikaten handeln dass ist aber bei weitem kein "kein Problem" denn dazu muss man auf jeden Fall den DNS Server der DS anschmeißen. Muss seinen Router um konfigurieren oder die DS noch zum DHCP Server machen. Dann muss zumindest für die Zertifikatserstellung die DS von außen erreichbar machen (bei lets Encrypt alle 3 Monate).

 

[JohneDoe]

Wieso widerspreche ich mir? Intern heißt nicht nur per IP aufzurufen. Intern heißt einfach nur, dass man etwas aufruft was nur INTERN erreichbar ist. Ob es per IP oder Domain ist, habe ich doch nie definiert. Ich habe viele Dienste die ich nur intern nutze und nichts davon rufe ich per IP auf. Also wo ist da der Widerspruch?

später intern mit Zertifikaten handeln dass ist aber bei weitem kein "kein Problem"

Hast du das schon selber mal eingerichtet und fandest es so kompliziert?

denn dazu muss man auf jeden Fall den DNS Server der DS anschmeißen.

Das muss man nicht und das wäre das letzte was ich jemals installieren würde. Wieso brauche ich den DSN Server von Synology? Es gibt so viele Alternativen die kleiner und einfacher sind.

Muss seinen Router um konfigurieren oder die DS noch zum DHCP Server machen.

Man muss einen einzigen Eintrag ändern.... Das hat nichts mit um konfigurieren zu tun und die DS muss man niemals zum DHCP Server machen. Wo hast du das bloß her.....

Dann muss zumindest für die Zertifikatserstellung die DS von außen erreichbar machen (bei lets Encrypt alle 3 Monate).

Nein muss man nicht..... Habe ich doch schon öfter geschrieben. Es gibt etwas, was sich DHCP Challenge nennt. Da muss der Server nie erreichbar sein. Ich kann damit für jedes Gerät ein Zertifikat holen.

Ich frag mich bei deinem Kommentar, ob du dich wirklich mit sowas befasst hast oder es nur "Ich hab es gelesen" ist.

Mit der "richtigen" Software muss man sich um die ganzen Zertifikate gar nicht kümmern. Da macht der Server das selber. Traefik oder Caddy (Das sind nur Beispiele!!) kümmern sich z.B. selber um die Zertifikate. Bei der Synology muss man halt acme.sh nutzen. Auch das kann DNS Challenge. Wenn man synology.me nutzt, dann muss man sich um das Zertifikat auch nicht kümmern und das Ding kann nur intern verwendet werden. Das kann man im Menü doch einstellen, ob er auf die öffentliche oder interne IP auflöst. Da muss man dann nicht mal einen DNS Server betreiben oder wie du sagst den Router um konfigurieren.

 

[Benie]

Ich versuche das mal alles zusammen zu fassen.
@JohneDoe

Du brauchst eine E-Mail Adresse.
Hast Du eine Fritzbox?
Wenn ja: Richte Dir auf der Fritzbox "Myfritz" ein. Anleitung hierfür findest Du auf der Homepage von AVM.

Wenn das myfritz Konto eingerichtet ist
Installiere auf dem Handy die Wireguard App
richre auf dem Laptop eine Wireguard Verbindung ein

Hernach kannst Du Dich über Wireguard mit Deinem Heimnetz über IP verbinden und dort bewegen als wenn Du Zuhause bist.
Allerdings ist hiermit das Problem der Sicherheitsabfrage bei IP Verbindungen noch nicht gelöst.

Melde auf der DS ein Synology-Konto an. Davon geht die Welt nicht unter.

Richte Dir über Synology eine DynDNS ein. example.synology.me Adresse ein.

Trage in der DS anstatt Deiner externen IP die interne IP ein.

Erstelle für die example.synology.me Adresse ein Wildcard Zertifikat.
Im Anschluss im Zertifikat unter Einstellungen die benötigten Anwendungen dem Zertifikat zuordnen.

So, jetzt kannst Du für interne Verbindungen auch intern die DynDNS example.synology.me Adresse verwenden.
Um der DS zu sagen das ab sofort DynDNS nur intern verwendet wird, musst Du auf der Fritzbox unter Rebindschutz Deine DynDNS eintragen.

Darüber hinaus, schließ es alle Ports die Du auf der Fritzbox für die DS eingerichtet hast. Es wird solange Du die DS nur netzintern verwenden willst kein offener Port benötigt.

Verbindungen von Außerhalb.

Ab sofort nur noch über die eingerichtete Wireguard Verbindung möglich.

Ich hoffe nichts vergessen zu haben. Die einzelnen Begriffe und Möglichkeiten wo was zu finden ist, musst Du Dir er googeln.
Ich schreibe gerade vom Handy, eh schon sehr umfangreich.
Einzelheiten würden leider den Rahmen sprengen.
Aber mit diesem Leitfaden meinerseits sollte es gelingen.