UnityMedia-Mails - Problem mit Zertifikat

  • Moin Moin !

    Bitte nicht lachen, aber ich habe wegen Windows 98 noch Version TB 3.0.1.33, mit der ich bisher immer sehr zufrieden war.

    Nachdem gmx.de und web.de vor kurzem auf Verschlüsselung umgestellt haben (funktionieren übrigens einwandfrei über TB), kann ich seit einigen Tagen über UnityMedia keine Mails mehr versenden bzw. empfangen.

    Beim Senden kommt immer: "Der Server hat während der Session kein Wurzelzertifikat übergeben ...". Wenn ich dann auf "Continue" klicke, wird die Mail versandt.

    Empfangen kann ich aber leider überhaupt keine Mails mehr von UM.

    Habe seit 2 Tagen - auch durch Suchen im Internet - alles Mögliche versucht, aber nichts funzt.

    Könnt Ihr mir vielleicht weiterhelfen ? Danke im voraus.


    paula-aenne

  • ich habe wegen Windows 98 noch Version TB 3.0.1.33

    Hast du auch schon andere TB!-Versionen unter Win98 ausprobiert? v3.0 kann doch nicht die letzte sein, die noch unter Win98 funktioniert. v3.99 findest du z.B. immer noch auf der offiziellen Webseite, andere v3.x z.B. hier. Die bestehende Version solltest du aber vorher nach dieser Anleitung sichern.


    Beim Senden kommt immer: "Der Server hat während der Session kein Wurzelzertifikat übergeben ...".

    Diese Fehlermeldung, die vollständig "Der Server hat während der Session kein Wurzelzertifikat übergeben und es existiert kein entsprechendes Wurzelzertifikat in Ihrem Adressbuch" lautet, wurde bereits in einigen Threads im Zusammenhang mit verschiedenen Providern behandelt, so z.B. hier, hier und hier. Folgende zwei Lösungsvorschläge sind wohl die effektivsten: entweder schließt du TB! und löschst die Datei ROOTCA.ABD, die Wurzelzertifikate (Root Certificates) beinhaltet (mehr dazu hier). Die Datei wird nach Programmneustart neu erstellt und eventuell ist dann das fehlende Wurzelzertifikat darin enthalten. Vielleicht sollte man davor noch das Windows-Stammzertifikatsupdate aufspielen. Ich weiß allerdings nicht, ob es so etwas auch für Win98 gibt; für WinXP z.B. schon (s. hier). Oder, falls das nicht hilft, musst du das fehlende Wurzelzertifikat selbst importieren. Wie das geht, steht in den o.g. Threads. Und zu dem Wurzelzertifikat muss man erst mal wissen, welches genau benötigt wird. Dafür muss man wissen, was z.B. in der Logdatei (STRG+SHIFT+A) steht?

    Bei GMX müsste darin u.a. so etwas stehen:

    Code
    Root: "DE", "Deutsche Telekom AG", "T-TeleSec Trust Center", "Deutsche Telekom Root CA 2"

    Danach ist das Wurzelzertifikat "Deutsche Telekom Root CA 2" erforderlich, welches bei TB! v6.x dabei ist. Man kann es aber auch z.B. hier herunterladen oder über eine Suchmaschine danach suchen.


    Empfangen kann ich aber leider überhaupt keine Mails mehr von UM.

    Du meinst wohl über UM. Jedenfalls wäre auch hier die Logdatei hilfreich, da sie auch Fehlermeldungen beim Empfangen oder Versenden enthält.

  • Moin,

    zunächst vielen herzlichen Dank für die schnellen Antworten.

    Inzwischen kann ich nach viel Rumexperimentieren wieder Mails über UM empfangen.
    Lösung: Man darf beim TB-Konto beim Empfangen nichts mit TLS/STARTTLS einstellen, sondern muss die Verbindung auf Standard lassen (mit Port 110).

    Die Probleme bestehen also (nur) noch beim Senden über UM. Ich könnte zwar anschließend bei dem Hinweis mit dem fehlenden Wurzelzertifikat jeweils auf "Continue" klicken, aber es wäre schön, wenn man das geschmeidiger lösen könnte.

    Bei den empfohlenen neueren TB-Versionen handelt es sich doch - glaube ich jedenfalls - um 30-Tage-Versionen - die muss ich doch anschließend kaufen, oder ? (Ich habe aber damals für meine Version bereits bezahlt.)

    Die "hier"-Links von "sanyok" hatte ich vorher auch bereits gelesen - aber es hat alles nicht gefruchtet.

    Deshalb hier erstmal der gewünschte LOG-Auszug:

    14.04.2014, 04:37:06: SEND - Sende Nachricht(en) - 1 Nachricht(en) in der Warteschlange
    14.04.2014, 04:37:06: SEND - Einleitung TLS-Handshake
    >14.04.2014, 04:37:06: SEND - Zertifikat S/N: 9F6A7A28DAF0B167BDD11764273D00C3, Algorithmus: RSA (2048 Bits), ausgestellt von 30 Aug 2013 bis 27 Nov 2016, für 2 Host(s): *.unitybox.de, unitybox.de.
    >14.04.2014, 04:37:06: SEND - Besitzer: DE, 50933, NorthRhine-Westphalia, Cologne, Aachener Str. 746-750, Unitymedia NRW GmbH, ISP, PremiumSSL Wildcard, *.unitybox.de.
    >14.04.2014, 04:37:06: SEND - Aussteller: GB, Greater Manchester, Salford, COMODO CA Limited, COMODO High-Assurance Secure Server CA.
    !14.04.2014, 04:37:06: SEND - TLS-Handshakefehler. Ungültiges Serverzertifikat (Der Aussteller dieser Zertifikatskette wurde nicht gefunden).


    Hilft das evtl. weiter ?

    Danke im voraus.

    paula-aenne

  • Deren Server mail.unitybox.de verbindet nicht mit SSL.
    Seltsam, denn die FAQ unter http://app.unitymedia.de/service/index.…132?query=email sagt was anderes:


    Derzeit klappt nur Port 587

    //EDIT:
    Als Zertifikate werden benutzt:

    Code
    Zertificatskette
     0 s:/C=DE/postalCode=50933/ST=NorthRhine-Westphalia/L=Cologne/street=Aachener Str. 746-750/O=Unitymedia NRW GmbH/OU=ISP/OU=PremiumSSL Wildcard/CN=*.unitybox.de
       i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO High-Assurance Secure Server CA
     1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO High-Assurance Secure Server CA
       i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

    Download als .crt-Datei:
    [Intermediate] Comodo High-Assurance Secure Server CA
    [Root] AddTrust External CA Root

    Importieren geht wie folgt:
    Adressbuch öffnen
    Ansicht Zertifikatsdatenbanken
    Links im Zweig Trusted Root CA wählen
    Neuer Kontakt (mit Taste Ctrl T)
    Nachname UnityMedia
    Reiter Zertifikate wählen
    Button Zertifikat-Import
    beide herunter geladenen .crt-Dateien selektieren und Button Öffnen
    OK


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Einmal editiert, zuletzt von GwenDragon (14. April 2014 um 09:37)

  • Lösung: Man darf beim TB-Konto beim Empfangen nichts mit TLS/STARTTLS einstellen, sondern muss die Verbindung auf Standard lassen (mit Port 110).

    War bei dir davor immer TLS eingestellt und es hat ohne Probleme funktioniert, jetzt plötzlich aber nicht mehr?

    Mir fällt nämlich in diesem Zusammenhang ein, dass ein Bekannter von mir seit ein paar Tagen ein ähnliches Problem hat. Er ist noch ish-Kunde und kann daher auch den alten Server ish.de verwenden. Vor ein paar Jahren habe ich bei ihm das E-Mail-Programm eingerichtet und eine verschlüsselte Verbindung eingestellt. Jetzt plötzlich klappt es nicht mehr. Ich habe es auch schon mit unitybox.de versucht. Es klappte in der Tat erst, als ich die Verschlüsselung deaktiviert habe und die Standardports einstellte.

    Es kann daher sein, dass bei ish/UM momentan etwas servermässig umgestellt wird, so wie neulich bei T-Online.


    Bei den empfohlenen neueren TB-Versionen handelt es sich doch - glaube ich jedenfalls - um 30-Tage-Versionen - die muss ich doch anschließend kaufen, oder ? (Ich habe aber damals für meine Version bereits bezahlt.)

    AFAIR war es zu den v3.x Zeiten so, dass die Lizenz für die jeweilige Reihe galt. Wenn man also eine v3.x Lizenz erworben hatte, galt sie bis v3.99.xx. Erst ab v4.x hat man es geändert. Jetzt ist man aber wieder zur alten Lizenzpolitik zurückgekehrt. Genaues müsste in der E-Mail mit dem Schlüssel stehen. Wenn man die bestehende Version gesichert hat, kann man gefahrenlos z.B. die letzte v3.99 ausprobieren. Sollte es mit der Lizenz nicht klappen, kannst du immer noch die alte Version aufspielen.

    Ich nehme aber an, dass wenn du das fehlende Zertifikat importiert hast, das Problem beseitig wird und ein Umstieg nicht unbedingt erforderlich sein wird. Es wurde aber vor allem in v3.5 Einiges geändert bzw. eingeführt. So kann man z.B. seit dieser Version die Programmoberfläche anpassen.


    Aussteller: GB, Greater Manchester, Salford, COMODO CA Limited, COMODO High-Assurance Secure Server CA.

    Laut LOG fehlt das Wurzelzertifikat "COMODO High-Assurance Secure Server CA". Den Link hat Gwen bereits gepostet. Das andere Zertifikat ist IMO nicht erforderlich, zumindest solange es keine weitere Fehlermeldung gibt.


    Deren Server mail.unitybox.de verbindet nicht mit SSL.

    TLS wird zwar unterstützt, aber die Verbindung dauert sehr lange. Es liegt wohl an Serverarbeiten o.ä. Betroffen sind auch:

    • pop.unitybox.de
    • imap.unitybox.de
    • smtp.unitybox.de

    Derzeit klappt nur Port 587

    465 geht bei mir ebenfalls:

    Code
    Server public key is 2048 bit
    Secure Renegotiation IS supported
    Compression: NONE
    Expansion: NONE
    SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : AES256-SHA
  • Moin,

    Vorab: Es fruchtet !!!!!!!!!!!!!!

    Senden über Port 465 geht übrigens etwas schneller als über Port 587.

    Das mir fehlende Zertifikat war wohl das "Comodo High-Assurance Secure Server CA"-Objekt.


    Die Geschichte mit dem Update auf Version 3.99 werde ich demnächst mal ausprobieren (nach vorheriger Sicherung).

    Vielen Dank nochmal. Ihr seid die Besten.

    paula-aenne

  • Es fruchtet !!!!!!!!!!!!!!

    Du hast nicht geantwortet, ob das Problem mit UM und TLS erst seit kurzem auftritt. Ich würde das gerne zum Vergleich wissen, weil es bei einem Bekannten von mir erst seit kurzem der Fall ist und er nicht TB! verwendet. Wenn es auch bei dir der Fall ist, dann liegt es nicht am Mail-Programm, sondern definitiv am UM.

  • Entschuldige bitte sanyok, hatte ich übersehen.

    Bis vor ca. 1 Woche konnte man Senden + Empfangen über UM mit der Einstellung Standard.
    Erst von da an ist zumindest das Senden nur noch mit der TLS-Mimik + Zertifikat möglich.

    Nochmals vielen Dank.

    paula-aenne

  • Bis vor ca. 1 Woche konnte man Senden + Empfangen über UM mit der Einstellung Standard.

    OK. Danke! Bei meinem Bekannten ging es bis vor ca. 1 Woche mit SSL/TLS und jetzt nur noch mit Standard. Er setzt WLM unter Win 8.1 ein. Dort wird die Windows-Zertifikatsdatenbank verwendet, die bestimmt auch die erforderlichen Wurzelzertifikate enthält. Am fehlenden Zertifikat kann es bei ihm daher kaum liegen. Also muss es am UM liegen.