Falsches SSL Zertifikat

Schmetterwurm

Moin,

Nachdem ich heute meine Installation geupdatet habe, verwendet Mailcow nun plötzlich ein falsches SSL Zertifikat.
Bisher wurde die Domain mail.MYDOMAIN.net verwendet, nach dem Update aber wird eine Domain verwendet, die nur in Mailcow verwendet wurde: autoconfig.md10.de
Das ist natürlich komplett falsch, und ich kann daher aktuell den Server nicht laufen lassen, da es bei meinen Mailclients ansonsten SSL Fehler gibt.
Es scheint als würde Mailcow die Einstellung der mailcow.conf einfach ignorieren ( MAILCOW_HOSTNAME ) obwohl auch für diese Domain ein valides SSL Zertifikat vorliegt.

ACME Log: https://pastebin.com/QnpNdNEQ
Domains die Konfiguriert sind, mails zu empfangen sind Anonymisiert mit “md1” bis x
Meine eigene Domain ist “MYDOMAIN”, ebenso meine IPs sind “MYIPv4” und “MYIPv6”

Wie ihr sehen könnt, verwendet Mailcow die domain “autoconfic.md10.de” anstatt die konfigurierte “mail.MYDOMAIN.net”
Ich habe keine Ahnung, was hier falsch läuft.
Wenn euch bestimmte Logs fehlen, sagt einfach bescheid und ich Poste das natürlich gerne.
Wäre super wenn mir hier jemand helfen könnte.

Schmetterwurm

Ich glaube ich komme dem ganzen langsam auf die spur….
Aus irgend einem Grund ist in der Nginx Konfiguration die oben genannte md10.de Domain reingerutsch:
https://pastebin.com/gTFpv2Lr
Das Problem ist, ich war das nicht.,.. kann das durch das Update skript verursacht worden sein??

diekuh

Das ist kein Problem oder ein Bug.

Schau doch mal in die Docs: https://mailcow.github.io/mailcow-dockerized-docs/firststeps-ssl/

Es ist direkt im ersten Abschnitt.

By default, which means 0 domains are added to mailcow, it will try to obtain a certificate for ${MAILCOW_HOSTNAME}.

For each domain you add, it will try to resolve autodiscover.ADDED_MAIL_DOMAIN and autoconfig.ADDED_MAIL_DOMAIN to its IPv6 or - if IPv6 is not configured in your domain - IPv4 address. If it succeeds, a name will be added as SAN to the certificate request.

Only names that can be validated, will be added as SAN.

Es ist ganz einfach so, dass MAILCOW_HOSTNAME nicht validiert werden konnte. Die anderen Namen (siehe oben) schon. Daher sind alle validierten autodiscover.* und autoconfig.* Namen im Zertifikat. Nicht aber MAILCOW_HOSTNAME.

Aus deinem Log:

Found domains: autodiscover.md10.de, autoconfig.md10.de

Nur die beiden wurden validiert.

AUCH aus deinem eigenen Log:

acme-mailcow_1       | Sun May 31 12:27:48 CEST 2020 - Found AAAA record for mail.MYDOMAIN.net: MYIPv6 - skipping A record check
acme-mailcow_1       | Sun May 31 12:27:48 CEST 2020 - Confirmed AAAA record with IP MYIPv6, but HTTP validation failed

mailcow kann die HTTP-Validierung nicht durchführen: “acme-mailcow” versucht auf http://ZU_VALIDIERENDE_DOMAIN/.well-known/acme-challenge/RANDOM_STRING zuzugreifen (via IPv6 natürlich, da es einen AAAA gibt). Diese HTTP Validierung schlägt bei dir fehl. Das kann ganz einfach ein nicht korrekt konfigurierter Reserve Proxy sein oder - zum Beispiel - eine Firewall, die falsch oder gar nicht konfiguriert ist. ufw, firewalld oder sowas wie OPNsense ohne konfigurierte NAT-Reflection.

Das Update hat damit gar nichts am Hut. Das machen wir alles schon immer so. 😉

Wenn es NAT Reflection ist und du keine Ahnung oder Lust hast das zu fixen, sollte dir auch klar sein, dass andere Dinge - besonders in der UI - nicht richtig funktionieren werden. Anschließend kannst du SKIP_HTTP_VERIFICATION=y setzen und docker-compose up -d ausführen. Wenn es dann immer noch nicht geht, ist es keine NAT Reflection sondern einfach eine Fehlkonfiguration eines RP oder der FW.

Schmetterwurm

Ok, es scheint ein falscher IPv6 Eintrag gewesen zu sein…. den habe ich entfernt und die Verifizierung geht wieder ohne Probleme.
Vielen Dank dass du mich auf die richtige Spur gebracht hast @diekuh 😄
Der Thread kann dann auch gerne geschlossen werden, wenn das hier geht?!

diekuh

Ahhh, alles klaro. 🙂

Ich markiere deine Antwort einfach als “richtige Antwort”, dann passt das.

Schönes langes WE!