T-Online.de - Kein Abruf (POP3) über SSL möglich?

    Dann erklär' mir doch mal, warum es bei anderen auf Windows 7 mit der aktuellen Final nicht geht.
    Sonst könnte sich openssl auch mit TLS1 an securepop.t-online.de:995 verbinden.
    Dass mir jemand ohne jahrelange Erfahrung mit Servern erzählt, dass es geht, ist mir unglaubhaft. Sorry.

    Probierts einfach mit openssl aus ind der Konsole:
    openssl s_client -connect securepop.t-online.de:995 -tls1

    Ich meine es liegt definitv daran, dass die Sicherheitssoftware dazwischen hängt, die dann TheBat vorgaukelt mit TLS an den Webserver zu verbinden!
    Der Webserver securepop.t-online.de kann kein TLS, definitiv nicht. T-Online hat bestimmt keinen Spezialstandard TLS selbst kreiert.

    Es sei denn ihr habt einen andere Server-IP als ich.

    Code
    U:\>nslookup securepop.t-online.de
Server:  router.box
Address:  10.0.10.1


Nicht autorisierende Antwort:
Name:    sfwdallmx.t-online.de
Addresses:  194.25.134.46
          194.25.134.110
Aliases:  securepop.t-online.de

    und bei euch?


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Zitat von GwenDragon

    Dann erklär' mir doch mal, warum es bei anderen auf Windows 7 mit der aktuellen Final nicht geht.

    Das kann ich Dir leider auch nicht sagen, ich bin kein Fachmann. Ich habe es jetzt erst noch einmal ohne NOD32 probiert und mir selbst eine Testmail geschickt:


    SEND - Sende Nachricht(en) - 1 Nachricht(en) in der Warteschlange
    SEND - Verbinde mit SMTP-Server securesmtp.t-online.de auf Port 587
    SEND - Einleitung TLS-Handshake
    SEND - Zertifikat S/N: 2B3C122B33744A9DD5BABE07E64176F0, Algorithmus: RSA (2048 Bits), ausgestellt von 17.09.2012 bis 21.10.2014 23:59:59, für 1 Host(s): securesmtp.t-online.de.
    SEND - Besitzer: "DE", "Hessen", "Darmstadt", "Deutsche Telekom AG", "P&I AM/DCS", "securesmtp.t-online.de".
    SEND - Aussteller: "US", "VeriSign, Inc.", "VeriSign Trust Network", "Terms of use at https://www.verisign.com/rpa (c)10", "VeriSign Class 3 International Server CA - G3".
    SEND - Root: "US", "VeriSign, Inc.", "VeriSign Trust Network", "(c) 2006 VeriSign, Inc. - For authorized use only", "VeriSign Class 3 Public Primary Certification Authority - G5"
    SEND - TLS-Handshake vollständig
    SEND - verbunden mit dem SMTP-Server
    SEND - authentifizieren (Plain)...
    SEND - Sende Nachricht an ...
    SEND - Nachricht an ... versandt (1496 Bytes)
    SEND - Verbindung beendet - 1 Nachricht(en) versandt
    FETCH - Empfange Nachrichten
    FETCH - Verbinde mit POP3-Server securepop.t-online.de auf Port 995
    FETCH - Einleitung TLS-Handshake
    FETCH - Zertifikat S/N: 0BF2C5E6, Algorithmus: RSA (512 Bits), ausgestellt von 25.11.2012 14:59:45 bis 20.11.2032 14:59:45, für 1 Host(s): securepop.t-online.de.
    FETCH - Besitzer: "DE", "Hessen", "Darmstadt", "Deutsche Telekom AG", "P&I AM/DCS", "securepop.t-online.de".
    FETCH - Dieses Zertifikat wurde selbst ausgestellt.
    FETCH - TLS-Handshake vollständig
    FETCH - Verbunden mit dem POP3-Server
    FETCH - bestätigt (Standard)
    FETCH - 2 Nachricht(en) im Postfach, davon 1 neue
    FETCH - Nachricht empfangen von ..., Größe: 2328 Bytes, Betreff: "Testmail ohne NOD32 (2)"
    FILTR - Empfangene Nachrichten von ... (2328 Bytes)
    FETCH - Verbindung beendet - 1 Nachricht(en) empfangen

    TheBat! Pro 10.x (64 Bit) NAU • Win 11x64 Pro • keine PlugIns

    Zitat von Ralf Brinkmann

    Hat sich denn jetzt mal jemand meinen Log-Auszug angeguckt und kann irgendwas dazu sagen? Sanyok?

    Ich habe die Logs etwas angepasst. Das POP3-Protokoll sieht so aus, wie es sein sollte, wenn eine TLS-Verbindung hergestellt wird. Was mir jedoch auffällt, ist dass sich dein Zertifikat von dem von CCCP99 unterscheidet. Außerdem ist mir diese Zeile aufgefallen:

    Code
    FETCH - Dieses Zertifikat wurde selbst ausgestellt.


    Vielleicht hast du daher ein spezielles T-Online-Zertifikat, das wir nicht haben und das von TB! bei der Verbindung verwendet wird.

    Wählst du dich übrigens ins Internet über T-Online oder einen anderen Provider?

    Jedenfalls kann es nicht an der Authentifikation liegen, da es dazu nicht mal kommt. Hierfür ist nämlich eine bereits mit dem Mailserver hergestellte Verbindung erforderlich. Diese wird aber gerade nicht hergestellt, da es schon am TLS-Handshake scheitert. Dass es diesbezüglich einen Unterschied zwischen normalen und Business-Kunden gibt, glaube ich auch nicht. In diesem Fall würden Business-Kunden höchstwahrscheinlich eine andere Serveradresse verwenden, denn zur Übertragung der Zugangsdaten, die wohl der einzige Unterschied zwischen diesen beiden Kundenarten wären, kommt es auch nicht, da ebenfalls noch keine Serververbindung hergestellt wird.

    Ich habe es übrigens auch über Kaspersky versucht, aber ein Tunneling wie z.B. bei avast! findet trotzdem nicht statt. Ich bleibe jedenfalls bei dem gleichen Fazit wie Gwen, dass der Server securepop.t-online.de kein TLS unterstützt.


    Zitat von Anhänger

    Der Versand und Empfang zu unserem uralt T-Online Konto klappt jetzt auf unseren Rechnern mit TB! 5.8.8 auch einwandfrei

    Kannst du vielleicht auch deinen Auszug aus dem POP3-Verbindungsprotokoll ([STRG]+[SHIFT]+[A]) hier posten? Persönliche Daten bitte vorher entfernen.


    Zitat von Ralf Brinkmann

    Und hast Du auch "The Bat!" oder eine andere Sicherheitssoftware?

    The Bat! ist keine Sicherheitssoftware. Du meinst wahrscheinlich ein anderes Mail-Programm.

    Einmal editiert, zuletzt von sanyok (10. November 2013 um 19:33)

    Zitat von sanyok

    Was mit jedoch auffällt, ist dass sich dein Zertifikat von dem von CCCP99 unterscheidet. Außerdem ist mir diese Zeile aufgefallen:

    Code
    FETCH - Dieses Zertifikat wurde selbst ausgestellt.


    Vielleicht hast du daher ein spezielles T-Online-Zertifikat, das wir nicht haben und das von TB! bei der Verbindung verwendet wird.

    Das ist mir zwar auch aufgefallen, aber ich dachte, das wird schon seine Richtigkeit haben. Ich selbst habe jedenfalls nichts ausgestellt.

    Zitat von sanyok

    Wählst du dich übrigens ins Internet über T-Online oder einen anderen Provider?

    Ich wähle mich ganz normal über T-Online ein. Das heißt, ich habe einen Speedport W921V von der Telekom, in den ich dann meine Anschlussdaten eingetragen habe.

    Zitat von sanyok

    The Bat! ist keine Sicherheitssoftware. Du meinst wahrscheinlich ein anderes Mail-Programm.

    Oh, peinlich. Nein, ich meinte NOD32. Hab' mich vor lauter Fledermäusen vertippt.

    TheBat! Pro 10.x (64 Bit) NAU • Win 11x64 Pro • keine PlugIns

    Zitat von Ralf Brinkmann

    Das ist mir zwar auch aufgefallen, aber ich dachte, das wird schon seine Richtigkeit haben. Ich selbst habe jedenfalls nichts ausgestellt.

    Vielleicht hat dein Telekom-Router es ausgestellt. ;) Normalerweise müssen statt dieser Zeile die zwei Zeilen "Aussteller" (des Zertifikats) und "Root" (Wurzelzertifikat) stehen. In deinem Fall bedeutet das wohl, dass der Besitzer = Aussteller ist. Dein Zertifikat unterscheidet sich jedenfalls von dem von CCCP99, was aber eigentlich nicht sein sollte, denn es handelt sich um den gleichen POP3-Server. Aber wenn's funktioniert, dann hat sich das Problem für dich erledigt.

    So sieht es z.B. mit IMAP aus:

    IMAP-Server: secureimap.t-online.de
    Verbindung: TLS
    Port: 993
    Authentifikation: Standard

    Code
    IMAP - Verbinde zum IMAP-Server secureimap.t-online.de auf Port 993
IMAP - Einleitung TLS-Handshake
IMAP - Zertifikat S/N: 14116E90D19F065EF2A95000CD3E891C, Algorithmus: RSA (2048 Bits), ausgestellt von 20.02.2012 bis 11.03.2014 23:59:59, für 1 Host(s): secureimap.t-online.de.
IMAP - Besitzer: DE, Hessen, Darmstadt, Deutsche Telekom AG, P&I AM/DCS, secureimap.t-online.de.
IMAP - Aussteller: US, VeriSign, Inc., VeriSign Trust Network, Terms of use at https://www.verisign.com/rpa (c)10, VeriSign Class 3 International Server CA - G3.
IMAP - Root: US, VeriSign, Inc., VeriSign Trust Network, (c) 2006 VeriSign, Inc. - For authorized use only, VeriSign Class 3 Public Primary Certification Authority - G5
IMAP - TLS-Handshake vollständig

    Einmal editiert, zuletzt von sanyok (11. November 2013 um 15:18)

    Das Zertifikat ist eine Fälschung! Irgendjemand hat das erstellt. Garantiert nicht die Telekom, sonst wärs unterzeichnet.
    Die Seriennummer des echten ist nämlich: 01D4C269FF9EF0003590A6ABE28FE9DF
    //EDIT:
    Übrigens sind 512bit für einen RSA-Schlüssel viel zu kurz um eine sichere Verschlüsselung zu leisten.
    Aber so lassen sich Daten auch einfacher abgreifen ;)

    Zitat von CCCP99

    7.11.2013, 16:59:22: FETCH - Verbinde mit POP3-Server securepop.t-online.de auf Port 995
    07.11.2013, 16:59:23: FETCH - Einleitung TLS-Handshake
    >07.11.2013, 16:59:24: FETCH - Zertifikat S/N: 01D4C269FF9EF0003590A6ABE28FE9DF, Algorithmus: RSA (2048 Bits), ausgestellt von 17.09.2012 bis 20.10.2014 23:59:59, für 1 Host(s): securepop.t-online.de.
    >07.11.2013, 16:59:24: FETCH - Besitzer: DE, Hessen, Darmstadt, Deutsche Telekom AG, P&I AM/DCS, securepop.t-online.de.
    >07.11.2013, 16:59:24: FETCH - Root: generated by avast! antivirus for SSL scanning, avast! Mail Scanner, avast! Mail Scanner Root

    hast du nicht gesehen, was da (letzte Zeile von CCCP99s Kommentar) bei Root: steht?
    Root bedeutet: diese Zertifikatsstelle hat das Stammzertifikat zum Unterschrieben des T-Onlinezertifikats ausgestellt.
    Das Zertifikat nicht von bekannten Zertifikatsherausgebern unterzeichnet und somit keins der Telekom!
    Das hat der Avast-Mailscanner gefälscht!

    Wenn ihr gefälschte Zertifikate von einem Programm (oder wenn schlimm gelaufen Schadsoftware) in die Windows-System-Zertifikatsdatenbank installieren lasst und dieses Programm von TLS auf SSL tunnelt, gehts natürlich.

    Ich denke, meine Ausführungen belegen eher: POP3 mit TLS geht nur, wenn ein Programm dazwischen ist, das "betrügt" und tunnelt.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    6 Mal editiert, zuletzt von GwenDragon (11. November 2013 um 16:46)

    Zitat von GwenDragon

    Das Zertifikat ist eine Fälschung! Irgendjemand hat das erstellt. Garantiert nicht die Telekom, sonst wärs unterzeichnet.
    Die Seriennummer des echten ist nämlich: 01D4C269FF9EF0003590A6ABE28FE9DF
    //EDIT:
    Übrigens sind 512bit für einen RSA-Schlüssel viel zu kurz um eine sichere Verschlüsselung zu leisten.
    Aber so lassen sich Daten auch einfacher abgreifen

    Tja, keine Ahnung wo das herkommt. Wo kriege ich jetzt ein echtes her?

    TheBat! Pro 10.x (64 Bit) NAU • Win 11x64 Pro • keine PlugIns

    Du brauchst keines. Der Mail-sServer sendet es ja an den Mailclient, wenn du zu dem verbindest, es sei denn irgendwas täuscht den PC und leitet an einen Server woanders.
    Schau bitte in deine Windows- und in TheBats Zertifikatsdatenbank ob da so ein ominöses für securepop.t-online.de drin ist und lösch es.

    Der T-Online-POP3-MailServer ist sowieso unsicher.
    Die erlauben sogar die längst geknackte Verschlüsselung SSL3 mit RC4-MD5.
    Geschäftsmails würde ich da nicht versenden. :!:


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Einmal editiert, zuletzt von GwenDragon (12. November 2013 um 09:30)

    Zitat von GwenDragon

    Schau bitte in deine Windows- und in TheBats Zertifikatsdatenbank ob da so ein ominöses für securepop.t-online.de drin ist und lösch es.

    Vorher sollte man es aber exportieren, denn wenn das Zertifikat weg ist, könnte das gleiche Verbindungsproblem wie bei fast allen anderen auftreten.

    Übrigens, vielleicht wurde das Zertifikat von NOD32 erstellt und funktioniert natürlich auch dann, wenn NOD32 deaktiviert ist, weil es bereits in der Zertifikatsdatenbank gespeichert ist. Mit avast! war es ja auch so.

    Jahrelang ist es ihnen gewesen, wenn SSL3 nicht mehr ging und auf einmal ändern sie's. Verstehe eine Ritlabs.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Eigentlich kann man RITLabs sehr gut verstehen. Wozu braucht man das veraltete SSL? Abgesehen von T-Online gibt es wohl kaum einen anderen bekannten Anbieter, der kein TLS unterstützt. TLS gibt es IMO bereits seit 1999. Um die Zeit erschien auch die erste TB! Version. Daher hat RITLabs es von Anfang an auf TLS abgestellt und alle Benutzer waren bis heute zufrieden. Oder kennt irgendjemand eine ähnliche Auseinandersetzung aus der Vergangenheit?

    Wegen der T-Online Neuigkeit gab es in letzter Zeit sehr rege Diskussionen in fast jeder The Bat! Mailingliste. Es fing in den deutschen an. Da T-Online mittlerweile wohl unmissverständlich erklärt hat, kein TLS bei POP3 implementieren zu wollen, musste etwas seitens RITLabs geschehen. Unter anderem wurde vorgeschlagen, SSL wenigstens als eine optionale Möglichkeit einzubauen. Der Vorschlag wurde jetzt wohl auch in der englischen TBBETA-Mailingliste unterbreitet. Sehr lobenswert finde ich persönlich, dass sich RITLabs diesen Vorschlag nicht einfach nur stillschweigend angehört hat, wie z.B. viele Wünsche im BugTracker, sondern den T-Online-Nutzern auch entgegenkommt und zumindest eine Hoffnung gibt. Wenigstens etwas. Von der T-Online hat man bereits eine klare Antwort erhalten.

    Zitat von sanyok

    Vorher sollte man es aber exportieren, denn wenn das Zertifikat weg ist, könnte das gleiche Verbindungsproblem wie bei fast allen anderen auftreten.

    Übrigens, vielleicht wurde das Zertifikat von NOD32 erstellt und funktioniert natürlich auch dann, wenn NOD32 deaktiviert ist, weil es bereits in der Zertifikatsdatenbank gespeichert ist. Mit avast! war es ja auch so.

    Dazu schnell noch ein Nachtrag (hatte leider den Thread nicht mehr gefunden und die Suchfunktion ist allererste S.....e): Ich habe mal testweise das angeblich falsche Zertifikat aus der TB-Zertifikatsdatenbank gelöscht (das ist doch die im Adressbuch unter "Trusted Root CA", oder?) und danach NOD32 ausgeschaltet. Ich konnte auch jetzt sowohl eine Mail senden als auch empfangen - ich bekam einfach das gleiche Zertifikat wieder angeboten. Und es steht immer noch drin, dass es von
    DE
    Hessen
    Darmstadt
    Deutsche Telekom AG
    P&I AM/DCS
    securepop.t-online.de
    ist.

    TheBat! Pro 10.x (64 Bit) NAU • Win 11x64 Pro • keine PlugIns

    In TBBETA wurde ein Statement von T-Online gepostet:

    Zitat

    "We won't change anything because switching the protocol to version 3.1 would cause much more mailers to fail than sticking with 3.0. You (i.e. me) must use another email client or ask the people from Thebat to implement SSL 3.0."

    Also hat man die Leute von RITLabs gefragt. ;)

    Zitat von Ralf Brinkmann

    ch habe mal testweise das angeblich falsche Zertifikat aus der TB-Zertifikatsdatenbank gelöscht (das ist doch die im Adressbuch unter "Trusted Root CA", oder?) und danach NOD32 ausgeschaltet. Ich konnte auch jetzt sowohl eine Mail senden als auch empfangen - ich bekam einfach das gleiche Zertifikat wieder angeboten.

    Und in der Windows-Zertifikatsdatenbank ist nichts mehr?


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.