MailPlus Meldung bzgl. nichtvertrauenswürdige Zertifizierungsstelle

lenswerk

New member
Hallo,

seit einiger Zeit bekomme ich beim Empfang der e-Mails von einer einzigen Adresse immer folgende Meldung ganz oben in der Mail angezeigt.

„Ungültige Digitale Signatur. Das zur Signierung der Nachricht verwendete Zertifikat stammt nicht von einer vertrauenswürdigen Zertifizierungsstelle“.

Es handelt sich dabei nur um einen und immer den selben Absender.
Liegt das Problem bei mir, oder beim Absender?

Generell sind meine Zertifikate alle gültig und auch entsprechen zugeordnet.

Herzliche Grüße
Jürgen
 

lenswerk

New member
Hey :)

Was sagt Dir Dein Bauchgefühl dazu? ☺️
Mein Bauchgefühl sagt mir, das das Problem auf der anderen Seite liegt.
MailPlus checkt das Zertifikat der ankommenden Mail und sieht ein Problem.
So würde ich das interpretieren.
Auf der anderen Seite dürfte es genauso ablaufen, Mails von mir werden gecheckt und wenn mein Zertifikat sauber ist, ist halt alles gut.
Liege ich da richtig?
 

blurrrr

Well-known member
Mein Bauchgefühl sagt mir, das das Problem auf der anderen Seite liegt.
MailPlus checkt das Zertifikat der ankommenden Mail und sieht ein Problem.
So würde ich das interpretieren.
Völlig korrekt (y)

"....stammt nicht von einer vertrauenswürdigen Zertifizierungsstelle"
Da wäre halt die Frage, von welcher Zertifizierungsstelle das ganze signiert wurde und warum das ganze als nicht vertrauenswürdig eingestuft wird. Kannst Du denn das Zertifikat in Mailplus das Zertifikat einsehen, damit man dort ggf. die Zertifizierungsstelle einsehen kann?
 

lenswerk

New member
Völlig korrekt (y)


Da wäre halt die Frage, von welcher Zertifizierungsstelle das ganze signiert wurde und warum das ganze als nicht vertrauenswürdig eingestuft wird. Kannst Du denn das Zertifikat in Mailplus das Zertifikat einsehen, damit man dort ggf. die Zertifizierungsstelle einsehen kann?
Die ausstellende Stelle istQuoVadis Swiss Advanced Ca G4
Digestalgorithmus: SHA256
Signaturalgorithmus: RSA (4096 Bits)

Muss ich da bei mir vielleicht etwas eintragen, vielleicht bin ich hier zu streng?
 

blurrrr

Well-known member
Hm... also das ist wohl gültig...

https://www.quovadisglobal.com/download-roots-crl/

QuoVadis Swiss Advanced CA G4 Valid until: Jul 20 18:25:46 2030 GMT
... und wurde ausgestellt am 22.07.2020 von der QuoVadis Root CA 1 G3.... hier mal ein Screenshot:

1669731598298.png

Ein wesentlicher Punkt ist, dass die Zertifikatsverkettung schon durchweg stimmig sein muss. Wenn Du das Zertifikat öffnen kannst, sollte da auch entsprechend die Verkettung zu sehen sein (wie im Screenshot). Siehst Du da ggf. welches der Zertifikate bemängelt wird?
 

lenswerk

New member
Hm... also das ist wohl gültig...

https://www.quovadisglobal.com/download-roots-crl/


... und wurde ausgestellt am 22.07.2020 von der QuoVadis Root CA 1 G3.... hier mal ein Screenshot:

Anhang anzeigen 2175

Ein wesentlicher Punkt ist, dass die Zertifikatsverkettung schon durchweg stimmig sein muss. Wenn Du das Zertifikat öffnen kannst, sollte da auch entsprechend die Verkettung zu sehen sein (wie im Screenshot). Siehst Du da ggf. welches der Zertifikate bemängelt wird?
Ich habe das Zertifikat nicht öffnen können, sondern habe die Informationen dazu als Mailanhang erhalten.
Wo kann ich mir den Inhalt eines Zertifikats in MailPlus anzeigen lassen?
 

blurrrr

Well-known member
Naja, im Zertifizierungspfad würden die entsprechenden Zertifikate stehen ☺️ Gibt es denn noch andere signierte Mails von Leuten, welche die gleiche CA nutzen? Ich vermute mal nicht, oder? Da müsste dann ggf. das gleiche Problem auftauchen... Alternativ kann die Person ja mal eine Mail an eine andere (Dir zugängliche) Mailadresse versenden, mal sehen was dann dort dazu gesagt wird.
 

lenswerk

New member
Nee, es gibt nur diesen einen Absender mit dem Problem.
Kann es sein, das MailPlus mit signierten Nachrichten nicht richtig umgehen kann?
 

blurrrr

Well-known member
Davon würde ich jetzt mal weniger ausgehen... Schau mal bei Dir via SSH auf der Syno unter /etc/ssl/certs/ ... da sind bei mir folgende gelistet:

QuoVadis_Root_CA_1_G3.pem
QuoVadis_Root_CA_2_G3.pem
QuoVadis_Root_CA_2.pem
QuoVadis_Root_CA_3_G3.pem
QuoVadis_Root_CA_3.pem
QuoVadis_Root_CA.pem

Du hattest jetzt angegeben: "QuoVadis Swiss Advanced CA G4". Dieses Zertifikat sieht wie folgt aus:

1669741467225.png

Das Zertifikat der übergeordneten Stelle befindet sich bereits auf der Syno ("QuoVadis_Root_CA_1_G3.pem"). Vielleicht machst Du einfach mal ein Ticket bei Synology auf, oder man schaut halt nochmal gezielter in die Logs... Bist Du denn der einzige Empfänger mit solchen "Problemen"?
Alternativ kann die Person ja mal eine Mail an eine andere (Dir zugängliche) Mailadresse versenden, mal sehen was dann dort dazu gesagt wird.
Das würde ich auf jeden Fall nochmal testen... Google-Mail oder sonstwas und einfach mal schauen, was die dazu sagen. Dementsprechend kann man sich dann schon ausrechnen, ob es an MailPlus liegt, oder nicht. Im letzteren Fall einfach mal ein Ticket bei Synology aufmachen, dafür ist der Support ja da 🙂
 

lenswerk

New member
Davon würde ich jetzt mal weniger ausgehen... Schau mal bei Dir via SSH auf der Syno unter /etc/ssl/certs/ ... da sind bei mir folgende gelistet:

QuoVadis_Root_CA_1_G3.pem
QuoVadis_Root_CA_2_G3.pem
QuoVadis_Root_CA_2.pem
QuoVadis_Root_CA_3_G3.pem
QuoVadis_Root_CA_3.pem
QuoVadis_Root_CA.pem

Du hattest jetzt angegeben: "QuoVadis Swiss Advanced CA G4". Dieses Zertifikat sieht wie folgt aus:

Anhang anzeigen 2182

Das Zertifikat der übergeordneten Stelle befindet sich bereits auf der Syno ("QuoVadis_Root_CA_1_G3.pem"). Vielleicht machst Du einfach mal ein Ticket bei Synology auf, oder man schaut halt nochmal gezielter in die Logs... Bist Du denn der einzige Empfänger mit solchen "Problemen"?

Das würde ich auf jeden Fall nochmal testen... Google-Mail oder sonstwas und einfach mal schauen, was die dazu sagen. Dementsprechend kann man sich dann schon ausrechnen, ob es an MailPlus liegt, oder nicht. Im letzteren Fall einfach mal ein Ticket bei Synology aufmachen, dafür ist der Support ja da 🙂
Ok, das werde ich so machen.
 

lenswerk

New member
QuoVadis_Root_CA_1_G3.pem
QuoVadis_Root_CA_2_G3.pem
QuoVadis_Root_CA_2.pem
QuoVadis_Root_CA_3_G3.pem
QuoVadis_Root_CA_3.pem
QuoVadis_Root_CA.pem
Bei mir befinden sich, wie bei dir, genau diese Zertifikate auch in der Liste.
Wenn ich eine von den signierten Mails z.B. an Apple Mail weiterleite, wird angezeigt, dass es sich um eine signierte Mail handel, aber es erscheint kein Fehlerhinweis – also liegt es doch an Synology.

Ich werde mal ein Ticket aufmachen und das Problem beschreiben.
 

lenswerk

New member
Irgendwelche Probleme sollten dadurch doch nicht zu erwarten sein, die Mails werden angezeigt, halt nur mit diesem Hinweis.
 

rednag

Well-known member
Ich drücke Dir die Daumen. Es wäre für andere User welche ähnliche Probleme haben hilfreich die Antworten/Lösungen hier zu verewigen.
 

lenswerk

New member
So, ich habe bereits eine Antwort vom Synology-Support erhalten, welche ich gerne mit euch teile.
Allerdings muss ich dazu sagen, das das Ganze. z.Z. noch etwas außerhalb meiner Fähigkeiten liegt.

Nachricht Synology-Support:

„Sehr geehrter Herr Schmidt,

vielen Dank, dass Sie sich an den Synology Support gewendet haben.
Sie können versuchen ob Sie das Zertifikat hier hinzufügen können.
Sie können auch versuchen das Zertifikat in den Zertifikatsspeichern hinzuzufügen.

Diese sind:
  • /usr/syno/etc/certificate/_archive/INFO
    Certificate-service mapping, same as the list in Control Panel > Security > Certificate > Configure
  • /usr/syno/etc/certificate/_archive/DEFAULT
    The default certificate in DSM
  • /usr/syno/etc/certificate/_archive/XXXXX
    Each folder stands for a certificate. Each folder contains the certificate itself (cert.pem), intermediate certificate (chain.pem), fullchain.pem (= cert.pem + chain.pem), and private key (privkey.pem).
  • /usr/syno/etc/certificate/system/default/
    A folder that contains the certificate files for the “System Default” service (ie. DSM login)
  • /usr/syno/etc/certificate/system/FQDN
    A folder that contains the certificate files for the DSM customized domain
  • /usr/syno/etc/certificate/AppPortal or ReverseProxy
    Folders that contain the certificate files for the Application Portals or Reverse Proxies
  • /etc/ssl/certs/ca-certificates.crt // Wrongly modify this file will cause DSM connection issue.
    Root certificates
Wenn das nicht klappt, kann das Thema mal an die Devs geben, evtl. haben wir das aus guten Grund nicht per default dabei.
Beachten Sie aber auch dass, das Zertifikat von der Gegenstelle evtl. auch falsch angelegt oder nicht signiert ist.
Dass müsste eigentlich auf der Gegenseite passieren. Kann der Kunde denn Mails an andere Clients senden ohne Warnung?“

Herzliche Grüße
Jürgen
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
1.725
Beiträge
21.437
Mitglieder
1.234
Neuestes Mitglied
Doneinei
Oben