• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Abfrage GMX neu mit TLS über fetchmail

Hallo,

GMX hat mitgeteilt, daß ab sofort Mails mit TLS abgeholt werden müssen.

Nun produziert mein fetchmail, was so schön ruhig lief, ständig Fehlermeldungen in der fetchmail.log.
Code:
fetchmail: Server certificate verification error: unable to get local issuer certificate
fetchmail: Server certificate verification error: certificate not trusted

Was soll ich tun? Muß in die fetchmailrc hinter die Abfragezeile sowas dahinter wie:
Code:
ssl sslproto tls1
Oder was fehlt mir noch?

Grüße
 
Bei fetchmail kann ich dir nicht helfen aber GMX scheint ihren sch***-Server nicht auf die Reihe zu kriegen. Wenn ich mit Icedove Mails dort abholen will, kriege ich Fehlermeldungen wenn ich "sicher Authentifizierung" auswähle.
 

Tooltime

Advanced Hacker
Das eigentliche Problem steht ja schon in der Fehlermeldung:
carsten schrieb:
fetchmail: Server certificate verification error: unable to get local issuer certificate
fetchmail: Server certificate verification error: certificate not trusted
Einfach ausgedrückt, der öffentliche Schlüssel des Mailservers konnte von keiner vertrauten Instanz bestätigt werden.

GMX benutzt anscheinend kein offiziell signiertes Zertifikat für ihre Mailserver, sondern nur ein selbst gebautes. Da die eigentliche Problematik nicht erkannt wurde und in deiner Sigantur SuSE 10.3 steht, empfehle ich zuerst einen Blick in das Handbuch. Bei 11.1 findet man die Passage hier:
  • /usr/share/doc/manual/opensuse-manual_de/manual/cha.yast.ca.html
Oder einfach mal im Inhaltsverzeichnis nach dem Stichwort "Zertifizierung" suchen.

Prinzipiell müsste der Mailtransfer aber weiterhin funktionieren, nur du bzw. fetchmail ist sich aber nie sicher mit wem eigentlich kommuniziert wird, Stichwort "man in the middle Angriff".
Lösungsmöglichkeiten:

  • A)
    Ignoriere die Fehlermeldung einfach, da du bis jetzt auf eine Authentifizierung des Mailservers verzichtest hast.

    B)
    Das Zertifikat des Mailserver oder das der Zertifizierungsstelle muss in das System eingeflegt werden. Wie das geht, steht in der manpage von fetchmail.
Geier0815 schrieb:
Wenn ich mit Icedove Mails dort abholen will, kriege ich Fehlermeldungen wenn ich "sicher Authentifizierung" auswähle.
Dürfte genau das gleiche Problem sein.
 

stka

Guru
Das gleiche Problem hatte ich bei 1und1 auch als die umgestellt haben, lag an deren Zertifikat. Habe die Fehlermeldung ignoriert und denen eine Mail geschrieben. Nach einiger Zeit war das Problem dann behoben. 1und1 hat sich damals bei mir gemeldet nach dem Motto "haben wir auch schon gemerkt wird behoben".
 

Tooltime

Advanced Hacker
OK, eine Lösungsmöglichkeit habe ich nicht genannt, das sie nicht im eigenen Einflussbereich liegt und natürlich eine Menge Geld kosten kann.

  • C)
    Das Zertifikat des Mailservers muss von einer allgemein anerkannten CA signiert werden.
 
@ Tooltime,

unter Icedove kriege ich das Zertifikat nicht mal zu sehen, kann es also auch nicht als vertrauenswürdig einstufen.
 

Tooltime

Advanced Hacker
Normaler Weise muss man sich das Zertifikat auf einem sicheren Weg beschaffen. Üblicher Weise sollte der Inhaber dieses zum Download anbieten. Das Prinzip ist ähnlich den Signaturen in E-Mails, wenn ich dir zum ersten Mal eine signierte Nachricht schicke und hänge mein Zertifikat einfach als Anhang an, woher willst du wissen ob die Nachricht echt ist. Wenn jemand die Nachricht fälschen will, fügt er natürlich auch ein gefälschtes Zertifikat an. Das Zertifikat muss also auf einen zweiten, möglichst sicheren Weg übertragen werden.

Da ich noch aus alten Spielereien weiß, das KMail die Möglichkeit bietet solche Zertifikate per Mausklick direkt vom Server zu importieren, habe ich mal meinen Uralten GMX-Account reaktiviert. Zu meinen erstaunen wurde das Zertifikat lautlos akzeptiert. Also schnell mal Thunderbird gestartet und siehe da, die Option "sichere Authentifizierung verwenden" funktionierte auch ohne Probleme. Wenn ich das richtig sehe, ist Icedove auch nur eine Variante von Thunderbird. Jedenfalls rätzel ich jetzt darüber nach ob mein openSUSE 11.1 ein Problem mit Überprüfung von Zertifikaten hat, oder das von GMX jetzt von einer offiziellen CA signiert ist. Getestet habe ich den Zugriff auf pop.gmx.net, würde mich interessieren ob andere Distributionen den Schlüssel jetzt auch akzeptieren (Icedove --> Debian?).
 
Habe jetzt auch mal wieder "sichere Authentifizierung" angeschaltet und siehe da: geht ohne murren. Von daher scheint GMX jetzt nachgebessert zu haben. Trotzdem ein schwaches Bild das man bei denen nicht mal den Fingerprint findet oder der so gut versteckt ist das er nur sehr schwer zu finden ist.
 
OP
C

carsten

Guru
Danke für die vielen Ansätze.
Ich muß die Tage mal schauen, ob sich was gebessert hat.
Igorieren war halt keine Lösung, da es mir /var/log zumüllt und echte Meldungen untergehen.

Aber ich finds schon heftig, wie die das umstellen und es knallt.

Grüße
 

cero

Guru
Hier in der Anleitung geht es nur um das sichere versenden von Mails:
http://faq.gmx.de/messages/mailprogramme/einrichtung/8.html

Auch die Infomail von GMX habe ich so verstanden, dass TLS oder SSL jetzt für das
Versenden verwendet werden soll, nicht für das Abholen.
 
OP
C

carsten

Guru
Hy,
Fehlermeldungen kommen noch. Bei gmx keinerlei Infos dazu. Also alles supergut.

Werd wohl mal den Support anrufen, denn eine Mailadresse seh ich auch nicht.

Grüße
 

Tooltime

Advanced Hacker
Das Zertifikat scheint aber gültig zu sein. Habe das noch einmal mit 11.0 und KDE3 probiert (bei 11.1 war es KDE4.2).

Zum nach vollziehen:
  • Zertifikat herunterladen:
    KMail --> Einstellungen --> kmail einrichten
    Zugänge --> Tab Empfang --> Hinzufügen --> POP3
    Unter Server: pop.gmx.net eintragen --> Tab Extras --> Fähigkeiten des Servers testen
    Alle Dialoge schließen und KMail beenden
  • Zertifikat anschauen:
    kcontrol --> Sicherheit & Privatsphäre --> Verschlüsselung --> Tab "Peer-SSL Zertifikate"
    Nebenbei kann man hier das Zertifikat in verschiedenen Formaten exportieren.
@Carsten
Versuch mal nach obiger Methode das Zertifikat herunter zu laden und in das ssl-Verzeichnis zu kopieren (/etc/ssl/certs). Anschließend muss der Befehl /usr/bin/c_rehash ausgeführt werden. Vielleicht hilft das ja.

@Geier0815
Geht und geht wieder nicht, klingt irgendwie komisch. Verschiedene Rechner?

Oder fehlt euch beiden das Zertifikat der CA (OU=Certification Services Division, CN=Thawte Premium Server), wenn das nicht im ssl-Verzeichnis vorhanden ist, wird die CA nicht als vertrauenswürdig angesehen.
 
OK, bei mir hat es sich geklärt: Unter icdove/thunderbird darf der Haken bei "sichere authentifizierung nicht gesetzt sein! http://www.thunderbird-mail.de/forum/viewtopic.php?f=28&t=40191&view=unread scheint auch noch andere User zu geben die darauf reinfallen/reingefallen sind.

Hintergrund ist der das früher speziell die Authentifizierung geschützt werden konnte während der Rest ungeschützt ablief. Das macht aber bei einer komplett verschlüsselten Verbindung keinen Sinn mehr.
 
Oben