Let's encrypt icm imap mail en windows phone probleemoplossing

[ufosyno]

Twee dagen geleden werd mijn Let's encrypt certificaat automatisch (voor het eerst) vernieuwd. Dat "works like a charm", met dank ook aan het forum, dat ik poort 80 keurig open heb gehouden.

Wel kreeg ik nu twee kleine probleempjes voor m'n kiezen. M'n users met een Iphone werden nu ineens gedwongen om in hun settings de SMTP server (die ik altijd rechtsreeks op IP-adres had staan) te wijzigen naar de domeinnaam van het certificaat. Niet spannend, hooguit lastig. Ook een beetje vreemd natuurlijk, want het had het tot de renewal gewoon gedaan.

De winphone gebruikers waren wat verder van huis. Windows mail weigert gewoonweg het nieuwe certificaat over te nemen, meldt het als onbetrouwbaar en wat je ook bedenkt, telkens probeert de phone weer te syncen. Dit ligt aan de IMAP implementatie van MS.

De enige oplossing is het account te verwijderen, en dan - let op - via "geavanceerd" weer een nieuw IMAP account aan te maken. Als je het via standaard "IMAP" aanmaakt loop je de kans dat de phone weer met een onbekend of niet gecertificeerde serveradres probeert contact te maken en heb je de boel weer hangen.

Misschien help ik hier weer een collega forummer mee!

[Briolet]

Ook een beetje vreemd natuurlijk, want het had het tot de renewal gewoon gedaan.

Niet helemaal vreemd. Waarschijnlijk verbind je met een andere naam dan in het certificaat staat en heb je de eerste keer, onbewust, een uitzondering toegestaan. Elke keer als het certificaat veranderd, moet je de uitzondering dan herbevestigen.

Ik heb daarom de alternatieve namen "mail.mijndomein.nl en smtp.mijndomein.nl" aan het certificaat toegevoegd. Anders moest ik in apple's Mail ook elke 3 maand het certificaat weer herbevestigen.

In de android mailprogramma's kun je ook vaak instellen of de certificaat controle wel/niet strikt moet zijn. Als je niet strikt gebruikt, wordt er wel gecodeerd, maar worden afwijkende namen genegeerd. Handig, maar niet veilig. De goede domeinnamen in het certificaat is beter.

In "Blue Mail" op de Android telefoon kun je b.v. kiezen tussen verbindingstype "SSL/TLS" of "SSL/TLS certificaat controleren". Bij het account op de nas gebruik ik de controle. Ik heb ook een extern account die een self-signed certificaat gebruikt. Daar laat ik de controle weg omdat ik eigenlijk niet weet hoe ik dat certificaat in de telefoon krijg. (Me te veel werk om uit te zoeken)

[ufosyno]

Dan resteert nu voor mij de vraag hoe ik die alternatieven dan aan het certificaat toevoeg, of moet ik gewoon een nieuw certificaat aanmaken

[Briolet]

Je kunt natuurlijk ook alles via het domein zelf blijven doen. Persoonlijk vind ik het gewoon mooier om min of meer gestandaardiseerde subdomeinen voor mail te gebruiken.

Gewoon een nieuw Let's Encrypt certificaat aanmaken. (Je mag er iets van 5 of 10 per dag aanmaken op een gelijk domein). Ik doe dat ook constant als ik een subdomein wil toevoegen. Je kunt de oude dan wissen, of beide blijven gebruiken en de nieuwe alleen aan mailserver toekennen.

[Heeren01]

Ik was ook smtp.mijndomein.nl vergeten (mail.mijndomein.nl had ik wel). Kan ik gewoon een nieuwe via de wizard van synology aanmaken, deze nu niet vergeten, het oude certificaat verwijderen en de nieuwe standaard maken?

Is het (zolang de wildcard nog niet zo makkelijk werkt bij Synology) handig om ook nog andere toe te voegen? (Ik heb een mail en web server, gebruik cloud, audio, video, file, Photo station). Bij die heb ik overigens soms het probleem dat Synology in eerste instantie niet, lokaal, wil inloggen omdat het certificaat niet veilig zou zijn.