Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Abfrage GMX neu mit TLS über fetchmail

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
carsten
Guru
Guru
Beiträge: 1632
Registriert: 27. Jan 2004, 13:27
Wohnort: Mittelhessen

Abfrage GMX neu mit TLS über fetchmail

Beitrag von carsten » 19. Mär 2009, 20:42

Hallo,

GMX hat mitgeteilt, daß ab sofort Mails mit TLS abgeholt werden müssen.

Nun produziert mein fetchmail, was so schön ruhig lief, ständig Fehlermeldungen in der fetchmail.log.

Code: Alles auswählen

fetchmail: Server certificate verification error: unable to get local issuer certificate
fetchmail: Server certificate verification error: certificate not trusted
Was soll ich tun? Muß in die fetchmailrc hinter die Abfragezeile sowas dahinter wie:

Code: Alles auswählen

ssl sslproto tls1
Oder was fehlt mir noch?

Grüße
Intel DB65ALB3, Chipsatz B65, Celeron G540, 4GB, 1x1TB System, 2x 2TB SATA RAID1, SuSE 13.2 (noch)

Werbung:
Benutzeravatar
Geier0815
Administrator
Administrator
Beiträge: 4369
Registriert: 14. Jun 2004, 09:12

Re: Abfrage GMX neu mit TLS über fetchmail

Beitrag von Geier0815 » 19. Mär 2009, 21:47

Bei fetchmail kann ich dir nicht helfen aber GMX scheint ihren sch***-Server nicht auf die Reihe zu kriegen. Wenn ich mit Icedove Mails dort abholen will, kriege ich Fehlermeldungen wenn ich "sicher Authentifizierung" auswähle.
Wenn Windows die Lösung ist...
kann ich dann bitte das Problem zurück haben?

Tooltime
Advanced Hacker
Advanced Hacker
Beiträge: 1202
Registriert: 28. Mai 2008, 17:49

Re: Abfrage GMX neu mit TLS über fetchmail

Beitrag von Tooltime » 20. Mär 2009, 16:35

Das eigentliche Problem steht ja schon in der Fehlermeldung:
carsten hat geschrieben: fetchmail: Server certificate verification error: unable to get local issuer certificate
fetchmail: Server certificate verification error: certificate not trusted
Einfach ausgedrückt, der öffentliche Schlüssel des Mailservers konnte von keiner vertrauten Instanz bestätigt werden.

GMX benutzt anscheinend kein offiziell signiertes Zertifikat für ihre Mailserver, sondern nur ein selbst gebautes. Da die eigentliche Problematik nicht erkannt wurde und in deiner Sigantur SuSE 10.3 steht, empfehle ich zuerst einen Blick in das Handbuch. Bei 11.1 findet man die Passage hier:
  • /usr/share/doc/manual/opensuse-manual_de/manual/cha.yast.ca.html
Oder einfach mal im Inhaltsverzeichnis nach dem Stichwort "Zertifizierung" suchen.

Prinzipiell müsste der Mailtransfer aber weiterhin funktionieren, nur du bzw. fetchmail ist sich aber nie sicher mit wem eigentlich kommuniziert wird, Stichwort "man in the middle Angriff".
Lösungsmöglichkeiten:
  • A)
    Ignoriere die Fehlermeldung einfach, da du bis jetzt auf eine Authentifizierung des Mailservers verzichtest hast.

    B)
    Das Zertifikat des Mailserver oder das der Zertifizierungsstelle muss in das System eingeflegt werden. Wie das geht, steht in der manpage von fetchmail.
Geier0815 hat geschrieben:Wenn ich mit Icedove Mails dort abholen will, kriege ich Fehlermeldungen wenn ich "sicher Authentifizierung" auswähle.
Dürfte genau das gleiche Problem sein.

stka
Moderator
Moderator
Beiträge: 3301
Registriert: 1. Jun 2004, 13:56
Wohnort: 51°58'34.91"N 7°38'37.47"E
Kontaktdaten:

Re: Abfrage GMX neu mit TLS über fetchmail

Beitrag von stka » 21. Mär 2009, 12:36

Das gleiche Problem hatte ich bei 1und1 auch als die umgestellt haben, lag an deren Zertifikat. Habe die Fehlermeldung ignoriert und denen eine Mail geschrieben. Nach einiger Zeit war das Problem dann behoben. 1und1 hat sich damals bei mir gemeldet nach dem Motto "haben wir auch schon gemerkt wird behoben".
Du hörst nicht auf zu laufen weil du alt wirst. Du wirst alt weil du aufhörst zu laufen.
Das neue Buch http://www.kania-online.de/fachbuecher

Tooltime
Advanced Hacker
Advanced Hacker
Beiträge: 1202
Registriert: 28. Mai 2008, 17:49

Re: Abfrage GMX neu mit TLS über fetchmail

Beitrag von Tooltime » 21. Mär 2009, 14:02

OK, eine Lösungsmöglichkeit habe ich nicht genannt, das sie nicht im eigenen Einflussbereich liegt und natürlich eine Menge Geld kosten kann.
  • C)
    Das Zertifikat des Mailservers muss von einer allgemein anerkannten CA signiert werden.

Benutzeravatar
Geier0815
Administrator
Administrator
Beiträge: 4369
Registriert: 14. Jun 2004, 09:12

Re: Abfrage GMX neu mit TLS über fetchmail

Beitrag von Geier0815 » 22. Mär 2009, 18:52

@ Tooltime,

unter Icedove kriege ich das Zertifikat nicht mal zu sehen, kann es also auch nicht als vertrauenswürdig einstufen.
Wenn Windows die Lösung ist...
kann ich dann bitte das Problem zurück haben?

Tooltime
Advanced Hacker
Advanced Hacker
Beiträge: 1202
Registriert: 28. Mai 2008, 17:49

Re: Abfrage GMX neu mit TLS über fetchmail

Beitrag von Tooltime » 23. Mär 2009, 02:29

Normaler Weise muss man sich das Zertifikat auf einem sicheren Weg beschaffen. Üblicher Weise sollte der Inhaber dieses zum Download anbieten. Das Prinzip ist ähnlich den Signaturen in E-Mails, wenn ich dir zum ersten Mal eine signierte Nachricht schicke und hänge mein Zertifikat einfach als Anhang an, woher willst du wissen ob die Nachricht echt ist. Wenn jemand die Nachricht fälschen will, fügt er natürlich auch ein gefälschtes Zertifikat an. Das Zertifikat muss also auf einen zweiten, möglichst sicheren Weg übertragen werden.

Da ich noch aus alten Spielereien weiß, das KMail die Möglichkeit bietet solche Zertifikate per Mausklick direkt vom Server zu importieren, habe ich mal meinen Uralten GMX-Account reaktiviert. Zu meinen erstaunen wurde das Zertifikat lautlos akzeptiert. Also schnell mal Thunderbird gestartet und siehe da, die Option "sichere Authentifizierung verwenden" funktionierte auch ohne Probleme. Wenn ich das richtig sehe, ist Icedove auch nur eine Variante von Thunderbird. Jedenfalls rätzel ich jetzt darüber nach ob mein openSUSE 11.1 ein Problem mit Überprüfung von Zertifikaten hat, oder das von GMX jetzt von einer offiziellen CA signiert ist. Getestet habe ich den Zugriff auf pop.gmx.net, würde mich interessieren ob andere Distributionen den Schlüssel jetzt auch akzeptieren (Icedove --> Debian?).

Benutzeravatar
Geier0815
Administrator
Administrator
Beiträge: 4369
Registriert: 14. Jun 2004, 09:12

Re: Abfrage GMX neu mit TLS über fetchmail

Beitrag von Geier0815 » 23. Mär 2009, 06:38

Habe jetzt auch mal wieder "sichere Authentifizierung" angeschaltet und siehe da: geht ohne murren. Von daher scheint GMX jetzt nachgebessert zu haben. Trotzdem ein schwaches Bild das man bei denen nicht mal den Fingerprint findet oder der so gut versteckt ist das er nur sehr schwer zu finden ist.
Wenn Windows die Lösung ist...
kann ich dann bitte das Problem zurück haben?

carsten
Guru
Guru
Beiträge: 1632
Registriert: 27. Jan 2004, 13:27
Wohnort: Mittelhessen

Re: Abfrage GMX neu mit TLS über fetchmail

Beitrag von carsten » 23. Mär 2009, 10:33

Danke für die vielen Ansätze.
Ich muß die Tage mal schauen, ob sich was gebessert hat.
Igorieren war halt keine Lösung, da es mir /var/log zumüllt und echte Meldungen untergehen.

Aber ich finds schon heftig, wie die das umstellen und es knallt.

Grüße
Intel DB65ALB3, Chipsatz B65, Celeron G540, 4GB, 1x1TB System, 2x 2TB SATA RAID1, SuSE 13.2 (noch)

Benutzeravatar
Geier0815
Administrator
Administrator
Beiträge: 4369
Registriert: 14. Jun 2004, 09:12

Re: Abfrage GMX neu mit TLS über fetchmail

Beitrag von Geier0815 » 23. Mär 2009, 18:07

Zu früh gefreut: "Mail-Server unterstützt keine sichere Authentifizierung"
Wenn Windows die Lösung ist...
kann ich dann bitte das Problem zurück haben?

cero
Guru
Guru
Beiträge: 2292
Registriert: 5. Mai 2004, 20:33
Wohnort: nähe Buchholz i.d.N.

Re: Abfrage GMX neu mit TLS über fetchmail

Beitrag von cero » 23. Mär 2009, 20:22

Hier in der Anleitung geht es nur um das sichere versenden von Mails:
http://faq.gmx.de/messages/mailprogramm ... ung/8.html

Auch die Infomail von GMX habe ich so verstanden, dass TLS oder SSL jetzt für das
Versenden verwendet werden soll, nicht für das Abholen.
Wissen, was man weiß,
und wissen, was man nicht weiß,
das ist wahres Wissen.
(Konfuzius)


"Auf der dunklen Seite gibt es keine Kekse, Luke! Bleib lieber hier!" - Obi-Wan Kenobi

carsten
Guru
Guru
Beiträge: 1632
Registriert: 27. Jan 2004, 13:27
Wohnort: Mittelhessen

Re: Abfrage GMX neu mit TLS über fetchmail

Beitrag von carsten » 23. Mär 2009, 20:26

Hy,
Fehlermeldungen kommen noch. Bei gmx keinerlei Infos dazu. Also alles supergut.

Werd wohl mal den Support anrufen, denn eine Mailadresse seh ich auch nicht.

Grüße
Intel DB65ALB3, Chipsatz B65, Celeron G540, 4GB, 1x1TB System, 2x 2TB SATA RAID1, SuSE 13.2 (noch)

Tooltime
Advanced Hacker
Advanced Hacker
Beiträge: 1202
Registriert: 28. Mai 2008, 17:49

Re: Abfrage GMX neu mit TLS über fetchmail

Beitrag von Tooltime » 23. Mär 2009, 21:39

Das Zertifikat scheint aber gültig zu sein. Habe das noch einmal mit 11.0 und KDE3 probiert (bei 11.1 war es KDE4.2).

Zum nach vollziehen:
  • Zertifikat herunterladen:
    KMail --> Einstellungen --> kmail einrichten
    Zugänge --> Tab Empfang --> Hinzufügen --> POP3
    Unter Server: pop.gmx.net eintragen --> Tab Extras --> Fähigkeiten des Servers testen
    Alle Dialoge schließen und KMail beenden
  • Zertifikat anschauen:
    kcontrol --> Sicherheit & Privatsphäre --> Verschlüsselung --> Tab "Peer-SSL Zertifikate"
    Nebenbei kann man hier das Zertifikat in verschiedenen Formaten exportieren.
@Carsten
Versuch mal nach obiger Methode das Zertifikat herunter zu laden und in das ssl-Verzeichnis zu kopieren (/etc/ssl/certs). Anschließend muss der Befehl /usr/bin/c_rehash ausgeführt werden. Vielleicht hilft das ja.

@Geier0815
Geht und geht wieder nicht, klingt irgendwie komisch. Verschiedene Rechner?

Oder fehlt euch beiden das Zertifikat der CA (OU=Certification Services Division, CN=Thawte Premium Server), wenn das nicht im ssl-Verzeichnis vorhanden ist, wird die CA nicht als vertrauenswürdig angesehen.

Benutzeravatar
Geier0815
Administrator
Administrator
Beiträge: 4369
Registriert: 14. Jun 2004, 09:12

Re: Abfrage GMX neu mit TLS über fetchmail

Beitrag von Geier0815 » 23. Mär 2009, 22:32

OK, bei mir hat es sich geklärt: Unter icdove/thunderbird darf der Haken bei "sichere authentifizierung nicht gesetzt sein! http://www.thunderbird-mail.de/forum/vi ... iew=unread scheint auch noch andere User zu geben die darauf reinfallen/reingefallen sind.

Hintergrund ist der das früher speziell die Authentifizierung geschützt werden konnte während der Rest ungeschützt ablief. Das macht aber bei einer komplett verschlüsselten Verbindung keinen Sinn mehr.
Wenn Windows die Lösung ist...
kann ich dann bitte das Problem zurück haben?

Antworten