Hallo zusammen
Ich teste gerade die E-Mail Protection auf meiner xgs107 Firewall. Der Mailserver steht in der DMZ, daher arbeitet die Firewall als "Transparenter Proxy".
Wenige Tage nach der Einrichtung erhielt ich eine "DANE Survey Notice":
"The TLSA RRsets of some of your email servers do not match their actual certificate chains."
Ich habe dann vermutet, dass man wohl das Mailserverzertifikat auch auf der Firewall einspielen muss - also habe ich das Zertifikat hochgeladen und unter "SMTP-TLS-Konfiguration" ausgewählt. Anschliessend waren die DANE/TLSA Tests wieder erfolgreich.
Heute nun ausser Haus stelle ich fest, dass der E-Mail Client sich nicht mit dem IMAPS/POPS Server verbinden kann. Also habe ich in der WAN to DMZ Regel "IMAP scannen", "IMAPS scannen", "POP3 scannen" und "POP3S scannen" deaktiviert. Es wird nun dort nur noch SMTP und SMTPS gescannt. Generell reicht das ja...
Eine ander Möglichkeit sehe ich leider nicht, denn mein E-Mail Server TLS Zertifikat lässt sich bei SMTP/S hinterlegen, nicht aber bei POP3/S,IMAP/S - da sehe ich nur "SecurityApliance_SSL_CA" in der Auswahl - nicht aber mein Mailserverzertifikat.
Der Nutzen des E-Mail Protection wird immer kleiner 
Warum kann man bei POP3/IMAP kein normalen TLS Zertifikat hinterlegen? Oder kann es sein, dass das Problem wegen der Authentifizierung entsteht? Jedenfalls meldet der Mailclient, dass der Server nicht erreicht werden kann, solange ich die Protokolle scanne.
Viele Grüsse
Martin
Added TAGs
[edited by: Erick Jan at 12:03 PM (GMT -7) on 8 Jun 2023]
