Server-Zertifikat abgelaufen - komme ich trotzdem irgendwie an die Mails ran?

    Hallo zusammen,

    heute ist das Zertifikat eines Servers, von dem ich Mails abrufen muss, abgelaufen. The Bat! verweigert jede Verbindung mit der Meldung "FETCH - TLS-Handshakefehler. Ungültiges Server-Zertifikat.".

    Ich habe mir behelfsweise Windows Live Mail eingerichtet - dort wird zwar auch vor dem abgelaufenen Zertifikat gewarnt, aber ich kann die Mails abholen. Natürlich möchte ich nicht mit Live Mail alle Mails abholen, sonst gibt's ein Durcheinander in meinem Mailbestand.

    Kriege ich The Bat! irgendwie dazu, sich so zu verhalten wie Live Mail? Warnung wäre ja ok, aber nicht die völlige Verweigerung der Verbindung.

    Den POP-Server erreiche ich über Port 995 (dediziert, TLS), den SMTP-Server über Port 25 (STARTTLS).

    Ich bitte um Hilfe!

    Danke & Gruß
    Pfledermaus

    The Bat! weist abgelaufene Zertifikate ab. Das ist die Sicherheitsphilosophie von Ritlabs.

    Dann eben ohne SSL abrufen. Oder den Admin dort in den Allerwertesten treten.

    Welcher Server ists denn genau?


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Zitat von pfledermaus

    heute ist das Zertifikat eines Servers, von dem ich Mails abrufen muss, abgelaufen.

    Wird bestimmt schnell erneuert. Mit Yahoo gab's z.B. neulich auch dieses Problem, s. "Yahoo.com - SMTP-Zertifikat abgelaufen!". Nach ein paar Stunden ging's wieder.

    Dass WLM es trotz eines abgelaufenen Zertifikats macht, ist IMO ein Sicherheitsrisiko. Eventuell wird dann aber keine TLS-Verbindung hergestellt, sondern über Standardports. So kann natürlich aber auch TB! die Mails abholen. Gwen hat's bereits erwähnt. Der Mailserver muss dann aber mitspielen und die Standardverbindung zulassen. Die meisten deutschen unterstützen nur noch TLS, zumindest unter den bekanntesten (E-Mail made in Germany etc.).

    In den Allerwertesten wurde bereits getreten - das Zertifikat ist nun neu bestellt. Der Server ist ein Firmenserver, den ich hier nicht nennen möchte.

    Mails über Standardports abrufen, lässt der Server nicht zu. Ich habe mir mal Thunderbird installiert - das verhält sich wie Live Mail: Warnt vor dem abgelaufenen Zertifikat, akzeptiert aber mein "Ich will trotzdem!".

    Und dieses Funktion - einfach mal dem Anwender überlassen, ob er ein Risiko eingehen will - hat Ritlabs wirklich komplett ausgeschlossen?

    Gruß
    Pfledermaus

    Zitat von pfledermaus

    In den Allerwertesten wurde bereits getreten - das Zertifikat ist nun neu bestellt. Der Server ist ein Firmenserver, den ich hier nicht nennen möchte.

    Wenn Hilfskräfte Firmen-Server administrieren... Na ja. ;)

    Zitat von pfledermaus

    Und dieses Funktion - einfach mal dem Anwender überlassen, ob er ein Risiko eingehen will - hat Ritlabs wirklich komplett ausgeschlossen?

    Dann nimm eine Uraltversion 2.x oder 3.x von The Bat!. Da ging sowas teilweise noch.

    Zitat von pfledermaus

    Ich habe mir mal Thunderbird installiert - das verhält sich wie Live Mail: Warnt vor dem abgelaufenen Zertifikat, akzeptiert aber mein "Ich will trotzdem!".

    Warum nimmst du das dann nicht dauerhaft? Das schützt dich dann vor solchen Ereignissen.

    Warum das Ritlabs so gemacht hat, frage bitte den Support.
    Ich finde es richtig, dass der Client gefälschte oder abgelaufene Schrottzertifikate nicht annimmt.
    Die Sitte, dass Nutzende ohne Nachdenken alles wegklicken und dann trotzdem ihre Daten über unsicheres SSL versenden, ist schon bei vielen Browsern schlimm genug. zeig mir die Leute, die wissen wann ein Zertifikat kompromittiert oder nur ungültig ist?
    In Firmen kann das schnell bös ausgehen, wenn durch Man-in-the-Middle-Attacken SSL druch gefälschte Zertifikate aufgeknackt wird und dann mitgelesen.

    Was ist denn das für eine Sicherheitsphilosophie in einer Firma, wenn wichtige Daten über ungültige SSL-Verbindungen versandt werden? Keine!


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Das mit dem abgelaufenen Zertifikat war dem Admin mächtig peinlich - schon gestern wurde ein neues installiert. Mein Problem hat sich damit also glücklicherweise schon wieder erledigt.

    Trotzdem war ich ganz schön in Schwierigkeiten: Ich musste an die Mails ran, unter allen Umständen. Gern hätte ich dafür in TB! die umständlichsten Sicherheitsabfragen bei jedem Mailabruf bestätigt, statt den Umweg über ein anderes Programm zu gehen. Aber dafür einen Request bei Ritlabs zu starten, halte ich für nicht aussichtsreich.

    Thunderbird ist natürlich keine Alternative zu The Bat! - es gibt nichts Besseres als die Fledermaus. Und deswegen bleibe ich bei ihr, bis ... ja, bis einer von uns beiden sich aus dem Internet verabschiedet. ;)

    Danke Euch für die Antworten!

    Gruß
    Pfledermaus

    Es gibt da irgendeine Exchange-Variante, mit der ich mich nie beschäftigt habe. Aber die wäre nicht besser gewesen als Thunderbird. Es ging mir ja auch darum, den Bestand in The Bat! zu pflegen und zu archivieren.

    Gruß
    Pfledermaus