Mailcow (auf externem Server) nicht erreichbar auf IMAP (993) und SMTP (465) mit Wildcard-Zertifikaten meines Providers

Heiko_Hoch · 30. Juli 2023 um 08:02

Guten Morgen liebe Kollegen,

Ich habe mich entschlossen Mailcow nicht auf der LM7 Hardware laufen zu lassen, sondern auf einem externen Server. Ich kann bereits über SOGo Mails verschicken und empfangen. Ich habe die Wildcard-Zertifikate unseres Hosters installiert ich erreiche SOGo und das Mailcow-Backend verschlüsselt ohne Fehlermeldung.

Was nicht funktioniert sind die verschlüsselten IMAP und SMTP Verbindungen. Wie kann ich das testen?

Michael · 30. Juli 2023 um 08:42

Hallo,
vielleicht zunächst so?

https://www.unixwitch.de/de/sysadmin/tools/imap-mit-ssl-testen

Schon ausprobiert?
Viele Grüße
Michael

Heiko_Hoch · 30. Juli 2023 um 09:04

OK, da kommt der Fehler „Unable to verify the first certificate“.


CONNECTED(00000003)
---
Certificate chain
 0 s:CN = *.meinedomain.de
   i:C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Encryption Everywhere DV TLS CA - G2
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=CN = *.meinedomain.de

issuer=C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Encryption Everywhere DV TLS CA - G2

---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 2141 bytes and written 405 bytes
Verification error: unable to verify the first certificate
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 21 (unable to verify the first certificate)
---
* OK [CAPABILITY IMAP4rev1 SASL-IR LOGIN-REFERRALS ID ENABLE IDLE LITERAL+ AUTH=PLAIN AUTH=LOGIN] Dovecot ready.

Ich habe (blauäugig) die Wildcard-Zertifikate, die ich bei meinem Apachen verwende, beim Mailcow-Dockerkontainer hinterlegt. Das funktioniert insofern, als dass der https Zugriff auf SOGo mit gültigem Zertifikat erfolgt. Für IMAP braucht’s scheinbar etwas mehr…

Wenn man diesen Fehler ignoriert, kann man erfolgreich Befehle an Dovecot senden.

Heiko_Hoch · 30. Juli 2023 um 09:57

Lieber Michael,

vielen Dank für Deinen Input! Durch deinen Tipp konnte ich die Lösung finden.

Hier die Lösung:

Mailcow benötigt Zertifikat und Intermediatezertifikat in einer gemeinsamen Datei! Das lässt sich einfach herstellen:

cat ssl.cert.pem ssl.ca.pem > cert.pem

Diese cert.pem kopiert man dann nach

/opt/mailcow-dockerized/data/assets/ssl/

und startet die folgenden docker container neu:

  docker restart $(docker ps -qaf name=postfix-mailcow)
  docker restart $(docker ps -qaf name=nginx-mailcow)
  docker restart $(docker ps -qaf name=dovecot-mailcow)

Quelle Lösung