T-Online: Zertifikat ungültig - kann empfangen, aber nicht senden

  • Seit gerade eben kann ich noch Nachrichten über T-Online empfangen, aber nicht senden. Das Logfile spuckt Folgendes dazu aus:

    09.03.2016, 18:13:30: SEND - Einleitung TLS-Handshake
    >09.03.2016, 18:13:30: FETCH - Zertifikat S/N: 00C8D712E9FDA13198, Algorithmus: RSA (2048 Bits), ausgestellt von 24.03.2014 14:05:23 bis 29.03.2016 23:59:59, für 6 Host(s): securepop.t-online.de, popmail.t-online.de, pop-mail.t-online.de, secure-pop.t-online.de, multipop.t-online.de, pop.t-online.de.
    >09.03.2016, 18:13:30: FETCH - Besitzer: DE, Deutsche Telekom AG, P&I AM/DCS, Hessen, Darmstadt, certadmin_pi@telekom.de, securepop.t-online.de.
    >09.03.2016, 18:13:30: FETCH - Aussteller: DE, T-Systems International GmbH, T-Systems Trust Center, Nordrhein Westfalen, 57250, Netphen, Untere Industriestr. 20, TeleSec ServerPass DE-2.
    >09.03.2016, 18:13:30: SEND - Zertifikat S/N: 222AACEDEB798CFC, Algorithmus: RSA (2048 Bits), ausgestellt von 24.03.2014 14:03:28 bis 29.03.2016 23:59:59, für 8 Host(s): securesmtp.t-online.de, smtpmail.t-online.de, smtp-mail.t-online.de, secure-smtp.t-online.de, umsgate.t-online.de, asmtp.t-online.de, secure-asmtp.t-online.de, smtp.t-online.de.
    >09.03.2016, 18:13:30: SEND - Besitzer: DE, Deutsche Telekom AG, P&I AM/DCS, Hessen, Darmstadt, certadmin_pi@telekom.de, securesmtp.t-online.de.
    >09.03.2016, 18:13:30: SEND - Aussteller: DE, T-Systems International GmbH, T-Systems Trust Center, Nordrhein Westfalen, 57250, Netphen, Untere Industriestr. 20, TeleSec ServerPass DE-2.
    !09.03.2016, 18:13:30: SEND - TLS-Handshakefehler. Ungültiges Server-Zertifikat. Die Authentizität dieses Zertifikats oder eines der Zertifikate in der Zertifikatskette wurde widerrufen.

    Was nun?

    TheBat! Pro 10.x (64 Bit) NAU • Win 11x64 Pro • keine PlugIns

  • Hat jetzt bei mir geklappt:

    Was hat denn FETCH bei dir beim Senden zu suchen? Hast du etwa POP vor SMTP eingeschaltet?

    Wie sehen bei dir die Sendeeinstellungen aus? TLS? Welcher Port und Server? Und gehst du über die Telekom ins Internet?

    Scheint am Aussteller zu liegen. Bis dahin sehen unsere Protokolle identisch aus.

    Ist das Wurzelzertifikat "Deutsche Telekom Root CA 2" bei dir installiert?

  • Nein, POP vor SMTP ist bei mit nicht angehakt.

    Ich gehe über die Telekom (T-Online) ins Internet. Einstellungen:

    SMTP-Port 465
    Protokoll für eingehende Nachrichten POP v3
    Server für eingehende Nachrichten securepop.t-online.de
    Verbinde mit Mailserver für eingehende Nachrichten Geschützt auf dediziertem Port (TLS)
    Server-Port für eingehende Nachrichten 995
    (leider wird das nicht so schön formatiert wiedergegeben, aber es entspricht den Einstellungen, die hier schon mehrfach nach der Umstellunge vorgegeben wurden)

    Das Wurzelzertifikat Deutsche Telekom Root CA 2 ist bei mir in den Kontoeigenschaften - Allgemein - Persönliche Zertifikate - Vertrauenswürdige Stammzertifizierungsstellen vorhanden.

    Bei mir klappt der Transport immer noch nicht. Ich habe auch mal testweise den Virenscanner ausgeschaltet, aber keine Änderung.

    TheBat! Pro 10.x (64 Bit) NAU • Win 11x64 Pro • keine PlugIns

  • Nein, POP vor SMTP ist bei mit nicht angehakt.

    Dann sendest du wohl und empfängst gleichzeitig. Wenn ich eine neue Nachricht verfasse und auf "Senden" klicke, habe ich kein FETCH bei mir im Protokoll. Es muss also ausschließlich so anfangen und enden, wie bei mir oben zitiert. Das mit dem FETCH irritiert mich etwas.


    SMTP-Port 465

    Und der Server lautet wahrscheinlich securesmtp.t-online.de. Dann sind die Sendeeinstellungen OK. Es wird auch das richtige Zertifikat 222AACEDEB798CFC verwendet, was bedeutet, das kein AntiVirus-Programm o.ä. dazwischenfunkt. Dieses Zertifikat ist auch bis Monatsende gültig, also muss es auch bis dahin funktionieren.


    Das Wurzelzertifikat Deutsche Telekom Root CA 2 ist bei mir in den Kontoeigenschaften - Allgemein - Persönliche Zertifikate - Vertrauenswürdige Stammzertifizierungsstellen vorhanden.

    Ich meinte vielmehr, ob es in der Zertifikatsdatenbank Trusted Root CA im Adressbuch vorhanden ist. Müsste aber wohl so sein. Bis zum Wurzelzertifikat (Root) kommt's bei dir nicht mal. Nach der Anschrift des Ausstellers müsste noch "Gültig ab und bis" erscheinen - an dieser Stelle gibt's aber bei dir einen Abbruch. Irgendwie scheinen nicht alle Zertifikatsdaten gelesen bzw. übermittelt worden zu sein. Vielleicht hängt's damit zusammen, dass die Telekom das o.g. Zertifikat erneuert und es teilweise zu Serverproblemen kommt. Versuche's später noch einmal.

    Klappt's übrigens mit einem anderen MUA?

  • Gleichzeitig Senden und Empfangen: Ja. Zu dem FETCH kann ich nichts sagen, ich habe noch nie darauf geachtet.

    Das mit dem "Trusted Root CA" im Adressbuch irritiert mich jetzt etwas. Ich drücke F8, das Adressbuch erscheint. Links bei den Ordnern sehe ich das Persönliche Adressbuch und darunter drei weitere Einträge

    Certum CA Directory
    Netcenter Member Directory
    Verisign

    Überall steht "0" dahinter und es gibt auch keinerlei Einträge dort. Ich glaube, das müsste anders sein. Vielleicht sollte ich nochmal eine Reparaturinstalltion proboeren.

    Einen anderen MUA habe ich nicht, kann ich also auch nicht testen.

    TheBat! Pro 10.x (64 Bit) NAU • Win 11x64 Pro • keine PlugIns

  • Hat leider nicht funktioniert. Ich habe eine Reparaturinstallation mit dem letzten 7.1.18-MSI-File durchgeführt, aber das Ergebnis sieht genauso aus wie vorher. Wo sind denn diese Zertifikate versteckt? Was müsste ich da eventuell zurücksichern?

    TheBat! Pro 10.x (64 Bit) NAU • Win 11x64 Pro • keine PlugIns

  • Tut mir leid, kannst Du mal etwas deutlicher werden? Ich habe im Menü "Ansicht" keinen Punkt "Zertifikatsdatenbanken aktivieren". Und ich musste so etwas bisher auch noch nie machen. Also wo und wie genau?

    TheBat! Pro 10.x (64 Bit) NAU • Win 11x64 Pro • keine PlugIns

  • Ich habe im Menü "Ansicht" keinen Punkt "Zertifikatsdatenbanken aktivieren".

    Dann musst du zuerst im Hauptmenü "Optionen" auf "S/MIME und TLS..." klicken und dann "Interne Implementierung" aktivieren. Danach müsstest du, wenn du ins Adressbuch gehst, im Menü "Ansicht" den Eintrag "Zertifikatsdatenbank" haben. Den musst du aktivieren.

  • Ist aber seltsam dass mit SSL bei Verwendung der Microsoft Crypto API so ein Fehler kommt.
    Auf meinem Windows 10 geht das bei T-Online

    Ich kann mir nur vorstellen, dass noch nicht alle Mail-Server bei T-Online das Zertifikat aktualisiert haben.

    Oder bei deinem Windows sind nicht alle Zertifikate und Zertifikatssperrlisten gültig/aktuell.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Einmal editiert, zuletzt von GwenDragon (10. März 2016 um 10:42)

  • Vor allem hat mich auch gewundert, dass der Fehler so von einer Minute auf die andere kam. Eben hatte ich noch eine Nachricht geschrieben und verschickt, dann wollte ich auf eine weitere, gerade eingetroffene antworten und nichts ging mehr. Ich habe in der Zwischenzeit nichts verändert, nichts installiert oder gelöscht, den Rechner nicht heruntergefahren, kein Update durchgeführt, nichts. Installiert hatte ich übrigens das letzte Update 7.1.18.1 Beta. Aber jetzt geht ja wieder alles.

    TheBat! Pro 10.x (64 Bit) NAU • Win 11x64 Pro • keine PlugIns

  • Ich habe in der Zwischenzeit nichts verändert,

    Überprüfe, ob du das Wurzelzertifikat "Deutsche Telekom Root CA 2" in der Windows-Zertifikatsdatenbank hast und ob's dort noch gültig ist. Das geht z.B. über "Systemsteuerung | Internetoptionen | Inhalte | Zertifikate" und dann oben auf den Reiter "Vertrauenswürdige Stammzertifizierungsstellen" klicken.