autoconfig.conf SSL & autodiscover Frage

[Ralph]

Ich hänge hier bei der Einrichtung autoconfig & autodiscover fest ... kein https bei autoconfig und autodiscover Ausgabe fehlt
Kann es sein dass für die autoconfig.conf die SSL config <VirtualHost *:443> fehlt oder die keyhelp.conf fehlerhaft ist?

Code: Select all

autoconfig.mydomain.tld/config-v1.1.xml

Dieser Link funktioniert, aber nur über Port 80, in der keyhelp.conf sind zwar Aliase gesetzt aber dieses Zertifikat gilt ja dann nur für den Hostname.
Für autoconfig.host1.domain.tld existiert keine 443 config und kein Zertifikat.

Der autodiscover Link gibt nur eine Fehlermeldung raus, über Userdomain sowie auch über die Hostname URL

Code: Select all

autodiscover.mydomain.tld/Autodiscover.xml

This XML file does not appear to have any style information associated with it.

Code: Select all

<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">
<Response>
<Error Time="10:06:33.7441250" Id="0000000000">
<ErrorCode>600</ErrorCode>
<Message>Invalid Request</Message>
<DebugData/>
</Error>
</Response>
</Autodiscover>

Von meiner Logik her müsste der Alias Part Autoconfig / Autodiscover aus der keyhelp.conf raus und in der autoconfig.conf angewendet werden incl. 443 vhost und extra Zertifikat Erstellung für die autoconfig.conf?

mache ich etwas falsch bzw. gibt es eine Lösung?

[Ralph]

Die config-v1.1.xml scheint auch fehlerhaft zu sein, da ist 3mal smtp enthalten - der smtp part mit <port>465</port> sollte da gar nicht drinne sein:

Code: Select all

<outgoingServer type="smtp">
<hostname>my.hostname.tld</hostname>
<port>465</port>
<socketType>SSL</socketType>
<authentication>password-cleartext</authentication>
<username>%EMAILADDRESS%</username>
</outgoingServer>

Bei der Autodiscover.xml scheint das xml Schema fehlerhaft zu sein oder enthält eventl. Einrückfehler (beschädigt) .

Kann jemand diese Fehler bestätigen?
http://autoconfig.<DOMAIN>/config-v1.1.xml
http://autodiscover.<DOMAIN>/Autodiscover.xml

[Jolinar]

Die config-v1.1.xml scheint auch fehlerhaft zu sein, da ist 3mal smtp enthalten - der smtp part mit <port>465</port> sollte da gar nicht drinne sein

Warum?
Port 25 - Kommunikation mit andern Mailservern
Port 587 - Kommunikation mit Client (STARTTLS)
Port 465 - Kommunikation mit Client (SSL/TLS)

[24unix]

Die config-v1.1.xml scheint auch fehlerhaft zu sein, da ist 3mal smtp enthalten - der smtp part mit <port>465</port> sollte da gar nicht drinne sein

Warum?
Port 25 - Kommunikation mit andern Mailservern
Port 587 - Kommunikation mit Client (STARTTLS)
Port 465 - Kommunikation mit Client (SSL/TLS)

Auch, wenn 465 noch oft benutzt wird, sollte man im Hinterkopf halten, dass der deprecated ist.

Die IANA hat den neu vergeben: https://www.iana.org/assignments/servic ... search=465

465 war STARTTLS, nun ist 587 SMTP und sollte immer verschlüsselt sein.

[Ralph]

Die config-v1.1.xml scheint auch fehlerhaft zu sein, da ist 3mal smtp enthalten - der smtp part mit <port>465</port> sollte da gar nicht drinne sein

Warum?
Port 25 - Kommunikation mit andern Mailservern
Port 587 - Kommunikation mit Client (STARTTLS)
Port 465 - Kommunikation mit Client (SSL/TLS)

weil die config-v1.1.xml die Client Setup Daten für (STARTTLS) Thunderbird liefert ... im Grunde reicht hier 587

Joli, kannst du denn bestätigen dass es sich hierbei sowie autodiscover xml und SSL Konfiguration (autoconfig & autodiscover) nicht um Fehler handelt oder sollte ich denn eine Fehlermedlung mit allen Details posten?

[Ralph]

Auch, wenn 465 noch oft benutzt wird, sollte man im Hinterkopf halten, dass der deprecated ist.
465 war STARTTLS, nun ist 587 SMTP und sollte immer verschlüsselt sein.

Yes, sehe ich genau so
Könnte zu Problemen (Verzögerungen) oder direkt zu Einrichtungsfehler bei Thunderbird kommen, am besten dem Client erst gar keine andere Wahl lassen als 587 für smtp.

[Ralph]

Haupt Problem ist momentan, keine SSL Verbindung zu diesen Client configs und daher können derzeit sowieso keine Einstellungen an die Clients geliefert werden, außer vieleicht der download für apple clients ...

Eine Notlösung wäre:
Subdomain anlegen mit LE Cert z.b. discover.myhostname.tld und eigene Scripts dort zu hinterlegen, dann die autoconfig und autodiscover als CNAME auf discover.myhostname.tld setzen ...

[Jolinar]

Auch, wenn 465 noch oft benutzt wird, sollte man im Hinterkopf halten, dass der deprecated ist.

Die IANA hat den neu vergeben: https://www.iana.org/assignments/servic ... search=465

465 war STARTTLS, nun ist 587 SMTP und sollte immer verschlüsselt sein.

Das ist so nicht korrekt!
Die RFC 8314 aus 2018 (auf die übrigens in deinem IANA Dokument verlinkt wird) sagt, daß 465 (SSL/TLS) gegenüber gegenüber 587 (STARTTLS) zu bevorzugen ist.
Hintergrund ist die Tatsache, daß STARTTLS anfällig gegen Downgrade-Angriffe ist, da die initiale Kommunikation unverschlüsselt erfolgt.

Joli, kannst du denn bestätigen dass es sich hierbei sowie autodiscover xml und SSL Konfiguration (autoconfig & autodiscover) nicht um Fehler handelt oder sollte ich denn eine Fehlermedlung mit allen Details posten?

Lass es erstmal in diesem Thread, soll sich @Alexander erstmal anschauen (zumal ich autodiscover nicht direkt austesten kann).
Wenn erforderlich, schiebe ich den Thread direkt nach Fehler / Probleme. Alle relevanten Infos sind ja hier schon genannt.

[Ralph]

Auch, wenn 465 noch oft benutzt wird, sollte man im Hinterkopf halten, dass der deprecated ist.

Die IANA hat den neu vergeben: https://www.iana.org/assignments/servic ... search=465

465 war STARTTLS, nun ist 587 SMTP und sollte immer verschlüsselt sein.

Das ist so nicht korrekt!
Die RFC 8314 aus 2018 (auf die übrigens in deinem IANA Dokument verlinkt wird) sagt, daß 465 (SSL/TLS) gegenüber gegenüber 587 (STARTTLS) zu bevorzugen ist.
Hintergrund ist die Tatsache, daß STARTTLS anfällig gegen Downgrade-Angriffe ist, da die initiale Kommunikation unverschlüsselt erfolgt.

OK aber es nützt ja auch nichts wenn autoconfig und autodiscover in KH nicht funktionieren (liefern).

Lass es erstmal in diesem Thread, soll sich @Alexander erstmal anschauen (zumal ich autodiscover nicht direkt austesten kann).

Gut, machen wir es so

[24unix]

Das ist so nicht korrekt!
Die RFC 8314 aus 2018 (auf die übrigens in deinem IANA Dokument verlinkt wird) sagt, daß 465 (SSL/TLS) gegenüber gegenüber 587 (STARTTLS) zu bevorzugen ist.
Hintergrund ist die Tatsache, daß STARTTLS anfällig gegen Downgrade-Angriffe ist, da die initiale Kommunikation unverschlüsselt erfolgt.

Und dann folgen wir dem Update: https://datatracker.ietf.org/doc/html/rfc6409

When conforming to this document, message submission uses the
protocol specified here, normally over port 587.

[Jolinar]

Andersrum wird ein Schuh draus:

Screenshot_27.png (10.44 KiB) Viewed 1231 times

Es ist zu sehen, daß die RFC 6409 (aus 2011) von der RFC 8314 (aus 2018) abgelöst wurde:

Code: Select all

Updated by RFC 8314

[Ralph]

Andersrum wird ein Schuh draus:
Screenshot_27.png
Es ist zu sehen, daß die RFC 6409 (aus 2011) von der RFC 8314 (aus 2018) abgelöst wurde:

Code: Select all

Updated by RFC 8314

Port 25 wird bereits von vielen ISP per default dicht gemacht ... wie auch immer, 587 ist als Standard für eine schnelle und zuverlässige autoconfig Einrichtung erst einmal die bessere Wahl

[Ralph]

Hier als Beispiel ziemlich aktuelle autoconfig, autodiscover und ios client config files, im autoconfig file ist hier 465 noch vorhanden aber 587 an erster Stelle, smtp 25 ist bei allen nicht mehr vorhanden:
autodiscover & ios:
https://github.com/youradds/hestiacp-au ... todiscover
autoconfig:
https://github.com/youradds/hestiacp-au ... /main/mail

[Alexander]

Port 465 wurde im März letzen Jahres ins KeyHelp auf Wunsch der Community hier ergänzt.
Dieser ist auch prinzipiell STARTTLS vorzuziehen. Sollte sich an den Spezifikationen aus dem letzten Jahr nicht wieder was geändert haben.

Auoconfig/Discover hatte auch immer bei allen Systemen die ich getestet hatte ordnungsgemäß funktioniert.

[Tobi]

Sorry Alex, aber bis heute habe ich mit dem „neuen“ 465er Port „undefinierbare“ Probleme in Verbindung mit Outlook und Microsoft Mail.

Es endet immer damit, dass Ich schlussendlich Port 587 verwende…