Email Fehler: SSL verify error: certificate name mismatch: DN CN H

Einer unserer Lieferant behauptet uns Emails geschickt zu haben, die wir nie bekamen. Im Email-Log sieht man tatsächlich, dass er uns welche geschickt hat mit dem erwähnten Fehler.
Er selbst bekam keinen Fehler zurück. Theoretisch ist es nur eine Warnung, aber offensichtlich geht sie bei dem Dovecot-System bei Hetzner nicht weiter.

Wenn man nach dem Fehler googelt findet man etwas wie


Es ist ein allgemeiner Fehler und ich vermute dass mit dem SSL-Zertifikat bei unserem Lieferanten was nicht stimmt. Aber es geht doch nicht um dessen Webseite sondern um Emails?
Wie kommt man nun an die Ursache, wo muss man hin?

Moin @em-pie,
ich bin nicht der Admin des Webhosting unseres Lieferanten, aber wir möchten ihm einen technischen Hinweis geben, warum seine Emails nicht zu uns durchkommen.
Sehe ich es richtig, dass der Fehler in unserem Email-Log
jedoch im SSL-Zertifikat seines Email-Servers liegt?

Welche Infos fehlen, damit ihr mir in der Sache weiterhelfen könnt?
your-server.de ist Hetzner, wo wir gehostet haben. Kann es sein, dass unser Lieferant ebenfalls dort hostet?

Könnt ihr mir mit den Daten in der Fehlermeldung weiterhelfen?
DN=Distinguished Name?
CN=Common Name?
H=?
Was bedeutet das genau?

In den weichgezeichneten Feldern stehen die Domains und IPs, möchte ich nur ungern hier posten (wenn's weiterhilft per private Message?)

Hi @LordGurke und @HansFenner,

es ist alles ein wenig anders

Im Screenshot oben vom Maillog geht der blaue Pfeil von sslproxy04.your-server.de nach links, d.h. es wurde eine Email von uns rausgeschickt an unseren Lieferanten. Und dabei tritt immer der SSL verify - Fehler auf. Jedoch passiert das zu anderen Kunden oder Lieferanten nicht.
Dennoch geht die Email durch, es ist eine Warnung und er bekommt sie. Wäre schön wenn wir das trotzdem irgendwie beheben können. In unserem Hetzner Account kann man nur für die Domains/Subdomains SSL-Zertifikate einstellen. Bei den Emails nicht, dort ist lediglich was mit DKIM und alles gemacht und grün.
Unser MX-Record ist auf "www<bla>.your-server.de." (das <bla> ist eine Zahl...) gesetzt, was unser eigener managed Server ist. Sollte alles passen, weil mit anderen Kunden keinerlei Probleme auftreten.
Daher ist die Vermutung leider falsch, dass im MX-Record unsere eigene Domain steht. Weitere Ideen?

Habt Ihr eine Idee, an welcher Stelle etwas mit dem SSL-Zertifikat nicht stimmen könnte? Wo schaut man da nach, wo findet man was zu dem "Email"-SSL-Zertifikat wo angeblich der Domainname nicht stimmen soll?

Die Ursache des Ursprungsproblems, dass die Email unseres Lieferanten nicht zu uns durchkommt ist wie folgt:
Sowohl unser Lieferant als auch wir waren bis vor einem Monat auf dem gleichen Dedicated-Server von Hetzner gehostet. Jetzt sind wir umgezogen, jedoch läuft das Mailsystem und der ganze Account von uns auf dem Dedicated - Server noch weiter. Es wird gewarnt, dass z.B. der MX-Record woanders hinzeigt, jedoch die interne Mailzustellung noch funktioniert.
D.h. wenn uns unser Lieferant eine Email sendet, denkt der Dedicated-Server es ist eine interne Zustellung (gleicher Server, gleiches Hosting...) und stellt es dort zu. Wir kommen aber nicht mehr in dieses Email-System rein, weil man sich bei Hetzner nur allgemein in webmail.your-server.de/login.php einloggen kann und wir damit in unserem aktuellen Webmail-Emailsystem landen. (Mit IMAP, POP3 nicht anders, da gleiche Domains).

Mein Weg, die Emails aus dem alten Mailsystem herauszubekommen war, mich per FTP dort einzuloggen (das sind zum Glück andere Zugangsdaten als unser aktueller FTP-Login), ins vmail/-Verzeichnis reinzugehen und dort in den Postfix-Dovecot-Ordners die Emaildateien runterzuladen und in unserem aktuellen FTP die Dovecot-Dateien wieder hochzuladen.
Eine ziemlich verzwickte Sache, aber das wird sich bald lösen, denn zum einen wird unser Lieferant das Hosting wechseln und zum anderen sind wir dran, unseren Account und auch das alte Emailsystem im erwähnten Dedicated-Server zu deaktiveren und zu löschen.

Würde mich sehr freuen, wenn noch jemand eine Idee zu der SSL-Warnung hat. Darf ich noch weitere Infos liefern, die hilfreich sind?

@HansFenner: Traue mich nicht so recht, den checktls-Test zu machen. Der MTA müsste doch der gleiche sein, wenn unser Lieferant ebenfalls auf einem Dedicated-Server von Hetzner ist? Hast Du eine Idee, wo man dem falschen SSL-Zertifikat nachgehen und einsehen/ändern kann?

Hi @Dani,
weiß ich nicht, weil das sind nur sehr wenige ausgehende Emails, wo der Fehler auftritt.
Du meinst, weil da *.your-server.de steht?
Woher kommt das SSL-Zertifikat und wer erstellt es?
Bei unserem Hetzner-Account kann man nur für die Webseite das SSL-Zertifikat erstellen, was ja nichts mit Email zu tun hat. Und bei Email gibt's nur sowas wie DKIM, was auch nichts mit SSL zu tun hat?
Oder sind das Zertifikate, die die Server unter sich ausmachen und man gar kein Einfluss darauf hat?

In H= steht der Email-Server unseres Lieferanten: "mail.<seine-domain>.de"
Warum muss in H= die gleiche Domain stehen wie in DN/CN?
Ist es nicht völlig normal, dass wir eine andere Email-Domain haben als unser Lieferant (und überhaupt alle externen Email-Kontakte?)
Ja, unser Lieferant ist auch bei Hetzner. Inwiefern hat er was falsch eingestellt? Soll er etwa die gleiche Domain wie wir nutzen?

Als Antwort auf meine Email an test@testsender.checktls.com bekam ich:


Alles super, und trotzdem der SSL-Fehler?
Oder heißt das, bei uns stimmt alles, sondern beim anderen Email-Server passt was nicht?
Es gibt übrigens noch weitere Kunden, bei denen das gleiche ist, daher nicht ganz unwichtig das Thema.

Hey, danke für die ausführliche Antwort.

Wenn ich bei checktls.com unsere Domain (natürlich der MX-Record) teste, sieht alles gut aus:

Bei der Domain unseres Lieferanten dagegen kommt genau der Fehler:

Daher eindeutig das SSL-Zertifikat auf dem Emailserver unseres Lieferanten falsch, weil seine Domain drinsteht, aber die Hetzner-Adresse mit your-server.de drinstehen sollten?

Danke für den Hinweis mit "Postfix — Multiple domain SSL certificates". Leider ist das zu technisch, unser Lieferant wird allenfalls das KonsoleH von Hetzner bedienen können. Bei postfix versteht er nur Bahnhof.
Bleibt die Frage, inwiefern er mit einem Hetzner-Account überhaupt das SSL-Zertifikat für seinen Emailserver ändern kann?
Wir sind auch bei Hetzner und wie erwähnt finde ich das nur für die Webseite ("SSL Manager", dort nur Domains und Subdomains). Bei den Emaileinstellungen allenfalls etwas mit DKIM, SPF oder DMARC.

Ebenfalls gibt es weitere Kunden mit der gleichen Warnung. Da wir nicht die IT unserer Email-Partner administrieren, werden wir wohl mit der Warnung leben müssen

Der Zertifikatsfehler liegt also am Emailsystem unseres Lieferanten/Kunden. Bei dem erwähnten Lieferanten weiß ich, dass er ebenfalls bei Hetzner hostet und ich habe die Frage bereits an den Support geschrieben. Ist ziemlich zäh und dauert.

Aber sicherlich bin ich nicht der IT-Admin unseres Lieferanten und es ist nicht meine Aufgabe das für ihn zu korrigieren. Darauf hingewiesen habe ich bereits, aber solange es wie Du in Möglichkeit 3 schreibst trotzdem funktioniert, ignorieren wir einfach die Warnings.
Wo bleibt dann der Sinn der Zertifikate? Sie stimmen zwar nicht, aber die Email wird trotzdem zugestellt. Könnte man dann nicht gleich auf die ganzen Zertifikate verzichten?
Vielleicht kann man es so wenigsten loggen und kontrollieren und je nachdem doch einmal blockieren, wenn das in Zukunft kommen sollte. Bzw. aus dem Warning einen Error machen oder umgekehrt.

Bei einer Webseite ist es offensichtlich wenn der Browser ein Sicherheits(Zertifikats) - Problem meldet.
Bei Emails jedoch schaut doch niemand regelmäßig in die Logs beim Hoster solange alles läuft und alle Emails ankommen?

Was ist der Standard? Klar, könnte ich, falls möglich, Warnungen verschärfen, müsste dann allerdings mit mehr Versandproblemen rechnen.
Wenn der Konsens so ist, dass man den "certificate name mismatch" getrost ignorieren kann, dann würde ich als MTA-Admin das doch auch so einstellen?

Mal schauen, was mir der Hetzner-Support zu der Thematik sagt.

Entschuldige, ich habe mich nur gefragt, wann es sinnvoll sein könnte, den erwähnten Zertifikatsfehler als echten Fehler zu sehen und den Versand zu blockieren. Aber ein Beispiel hast Du mir genannt, danke.

Hetzner schrieb mir, dass man lediglich in der DNS-Konsole den MX-Eintrag ändern muss.
In dem Fall müsste unser Lieferant, der seine Emails auch bei Hetzner hostet, den Eintrag von
"mail.xxx.de." (seine Domain)
zu
"dedixxx.your-server.de." (die Domain seinen Dedicated Servers)
ändern. (die xxx'e sind vertraulich, daher hier verschleiert).

Bin positiv überrascht von der konkreten Lösung vom Support.
Allerdings schrieben sie mir danach wie man die Ende-zu-Ende Verschlüsselung im Email - Client einstellt, was ich überhaupt nicht gefragt habe und auch nicht wissen wollte. Naja, wahrscheinlich noch einen unnötigen Textbaustein hinzugefügt...

Danke soweit, wieder mal was dazugelernt

Eine zustäzliche Info von Hetzner:

Ist das tatsächlich so, dass in unseren ausgehenden Emails in den Mailheader die Adresse mail.xxx.de des Empfängers reingeschrieben wird?
Wenn ich mir unsere versendeten Emails anschaue, steht da nur der minimale 9-zeilige Header drin ohne jegliche Informationen vom Empfänger. D.h. der nicht-zusammenpassende Mailheader mit dem SSL-Zertifikat passiert alles erst auf der Empfängerseite, was ich bei uns nicht mehr nachvollziehen kann?

Warum wird es dann in unseren Email-Logs als Fehler aufgeführt, obwohl der Fehler erst auf Empfängerseite auftritt?
Vermutlich weil unserer Emailserver sich mit dem Empfangsserver austauscht und dann eben "ein Fehler" auftritt, was sowohl Sender als auch Empfänger betrifft?

Hetzner ergänzte und erklärte sehr verständlich ("a" ist unsere Domain, "b" die vom Empfänger):