GMX hat Probleme mit SSL/Zertifikat

  • Anscheinend hat GMX seit dem 1.10. 2016 wieder etwas an den Zertifikaten verändert.

    Älteren Versionen mögen das Zertifikat nicht. Man kann reproduzierbar wieder keine Mails abrufen (getestet mit v2.x).

    Die vorhandenen Einstellungen haben vor dem 1.10.2016 noch funktioniert. Als Fehlermeldung kommt

    FETCH - TLS-Handshakefehler. Nicht unterstütztes Zertifikat

    Kennt da jemand eine Lösung/Workaround?


    Empfangen
    pop.gmx.net - geschützt auf dedizierten Port (TLS) 995?

    Senden
    mail.gmx.net - geschützt auf dedizierten Port (TLS) 465?

    Einmal editiert, zuletzt von de-bugger (21. Oktober 2016 um 14:36) aus folgendem Grund: formatierung + info

  • Mit The Bat! 6.x hast du solche Probleme?

    Code
    >16.10.2016, 13:50:24: SEND  - Certificate S/N: 22AACE60B3A15281, algorithm: RSA (2048 bits), issued from 9/22/2016 8:08:08 AM to 9/27/2018 11:59:59 PM, for 4 host(s): mail.gmx.net, mail.gmx.de, smtp.gmx.net, smtp.gmx.de.
    >16.10.2016, 13:50:24: SEND  - Owner: "DE", "1&1 Mail & Media GmbH", "Rhineland-Palatinate", "Montabaur", "server-certs@1und1.de", "mail.gmx.net".
    >16.10.2016, 13:50:24: SEND  - Issuer: "DE", "T-Systems International GmbH", "T-Systems Trust Center", "Nordrhein Westfalen", "57250", "Netphen", "Untere Industriestr. 20", "TeleSec ServerPass DE-2". Valid from 2/11/2014 2:30:17 PM to 7/9/2019 11:59:00 PM.
    >16.10.2016, 13:50:24: SEND  - Root: "DE", "Deutsche Telekom AG", "T-TeleSec Trust Center", "Deutsche Telekom Root CA 2". Valid from 7/9/1999 12:11:00 PM to 7/9/2019 11:59:00 PM.

    Dann importier dir diese Zertifikate.
    https://www.telesec.de/de/public-key-…lekom-root-ca-2
    https://www.telesec.de/de/serverpass/…serverpass-de-2


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Oh, 2.x. Du hast aber hier im The Bat! 6.x Thread gefragt.
    Ich teil mal ab.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Zertifikate herunter laden
    Einzeln nacheinader:
    Mit oppleklick öffnen
    Zertifikat importieren
    (*) Lokaler Computer
    (*) Alle Zertifikate in folgenden Speicher
    Druchsuchen
    Vertrauenwürdige Stammzertifizierungsstellen wählen


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Ich kann mich nicht mehr erinnern, was vor fast 10 Jahren bei SSL/TLS mit The Bat! sich geändert hat. Zu lang her.

    Aber nachdem gmx dasselbe Server-Konglomerat wie Strato ist kommen mir manche Probleme bekannt vor:
    1.62r - Strato.de und TLS
    https://www.ritlabs.com/en/forums/forum4/topic12358/

    Und ist das etwa Windows XP oder so? Die können manche moderne Chiffren bei TLS nicht.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    3 Mal editiert, zuletzt von GwenDragon (21. Oktober 2016 um 16:36)

  • mehr steht da nicht drin

    Code
    21.10.2016, 16:05:41: FETCH - Empfange Nachrichten
     21.10.2016, 16:05:41: FETCH - Einleitung TLS-Handshake
    !21.10.2016, 16:05:41: FETCH - TLS-Handshakefehler. Nicht unterstütztes Zertifikat

    Na ja, das heißt denn wohl updaten auf die aktuellen Version, da es ja ab der v4 keine Probleme gibt.

  • mehr steht da nicht drin

    Zu welchen bekannten deutschen Mailservern kann denn v2.x eine Verbindung problemlos herstellen? Müssten eigentlich alle auf dem gleichen Sicherheitsniveau sein.

    Das für eine GMX-Verbindung (POP3 und SMTP) erforderliche Wurzelzertifikat ist jedenfalls "Deutsche Telekom Root CA 2". Den Download-Link hat Gwen bereits oben gepostet. Dieses muss unter "Trusted Root CA" gespeichert sein. Wenn man dann im Reiter "Zertifikate" darauf doppelklickt, muss dort "Dieses Zertifikat ist gültig" stehen.

    Wenn das alles bereits erledigt ist und es trotzdem nicht klappt, dann wird wohl in der Tat ein Verschlüsselungsalgorithmus verwendet, der von v2.x nicht unterstützt wird.

    Eventuell klappt die Verbindung aber, wenn man unter "Optionen | S/MIME..." anstelle der internen Einbindung "Microsoft Crypto API" wählt. Dann wird nämlich auf die in der Windows-Zertifikatsdatenbank gespeicherten Zertifikate zugegriffen.

  • Zu welchen bekannten deutschen Mailservern kann denn v2.x eine Verbindung problemlos herstellen?

    ein paar Anbieter konnte ich testen mit der v2.12.


    Arcor.de funktioniert 
    Standard Verbindung POP3 25/110

    Web.de funktioniert nicht, der gleiche TLS-Handshakefehler
    POP3 TLS/587 + TLS 995

    1und1.de funktioniert
    POP3 TLS 465 + TLS 995

    Goneo.de funktioniert
    POP3 TLS 465 + TLS 995

    Outlook.com funktioniert nicht, der gleiche TLS-Handshakefehler
    POP3 TLS/587 + TLS 995

  • Interessant. GMX und web.de gehören doch zur 1&1. Dann müssten alle drei nicht funktionieren.

    Dachte ich auch, ist ja 1&1-Mail; sonst waren deren Server auch immer synchron bei Zertifikaten und bei der Serversoftware.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Dann verwenden die Server vielleicht Chiffren, Prüfsummen und TLS-Standards, welche die The Bat! 1.x und 2.x nicht kann.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.