Ihr erinnert Euch noch an diesen Artikel aus dem Jahr 2021?
Da gibt es ein unrühmliches Update 😀
An die IT der Stadt Braunschweig in Sachen MAILSERVER – 2024 Edition
Im Jahr 2021 hatte ich einen offenen Brief an die IT-Verantwortlichen der Stadt Braunschweig geschickt, den könnte Ihr digital oben lesen. Weil wir gerade Mailserverprobleme einer anderen Stadtverwaltung bearbeiten, dachte ich mir, schau doch mal nach, was daraus geworden ist. Hier die 2024 – Edition 😀
Liebe IT-Verantwortliche der Stadt Braunschweig,
wie wir Euch im Jahre 2018, und dann nochmal im Jahr 2021, mitgeteilt haben, sind Eure SSL-Zertifikate im Mailserver nichts wert. Glauben Sie schon wieder nicht? Bitte schön:
# openssl s_client –connect mailin02.braunschweig.de:25 -starttls smtp -verify_hostname mailin02.braunschweig.de
CONNECTED(00000003)
depth=0 CN = braunschweig.de
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = braunschweig.de
verify error:num=62:hostname mismatch
verify return:1
depth=0 CN = braunschweig.de
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 CN = braunschweig.de
verify return:1
—
Certificate chain
0 s:CN = braunschweig.de
i:C = US, O = Let’s Encrypt, CN = R10
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Aug 20 10:47:48 2024 GMT; NotAfter: Nov 18 10:47:47 2024 GMT
—
Server certificate
—–BEGIN CERTIFICATE—–
MIIE7jCCA9agAwIBAgISBJuzUCXTWYKiCMJPi/QRdpaNMA0GCSqGSIb3DQEBCwUAJetzt heißen Eure Mailserver für die Domain braunschweig.de aber nicht braunschweig.de sondern:
;; QUESTION SECTION:
;braunschweig.de. IN MX;; ANSWER SECTION:
braunschweig.de. 300 IN MX 10 mailin02.braunschweig.de.
braunschweig.de. 300 IN MX 20 mailin01.braunschweig.de.Also kann auch hier wieder nicht festgestellt werden, daß wir wirklich mit dem richtigen Mailserver reden.
Damit gilt leider, was auch schon 2018 galt: schlecht gesetuped.
Es gibt aber auch Positives zu melden: Die Stadt nutzt Let’s Encrypt für die Zertifikate und kann TLS 1.3, was, wie wir leider feststellen müssen, auch in 2024 keine Selbstverständlichkeit ist.
