FETCH - TLS-Handshakefehler. Ungültiges Server-Zertifikat. (Antispam Sniper)

  • Guten Tag,

    Da seit heute das empfangen von emails nicht mehr ging. (Wurzelzertifikat) habe ich meine Kontoeigenschaften von smtp.1und1.de und pop.1und1.de auf ionos.de umgestellt.
    Ebenso die Ports. Beide auf "Geschützt aud dediziertem Port (TLS)".

    Dann habe ich noch unter S/MIME auf Microsoft Crypto API umgestellt. (Kryptographie Service Provider:Voreingestellt)

    Nun kann ich zwar senden, aber nicht empfangen.

    Code
    >18.01.2019, 15:40:17: FETCH - Zertifikat S/N: 025C52, Algorithmus: RSA (512 Bits), ausgestellt von 28.10.2018 21:35:39 bis 23.10.2038 21:35:39, für 9 Host(s): smtp.ionos.de, pop.ionos.de, imap.ionos.de, smtp.1und1.de, pop.1und1.de, imap.1und1.de, smtp.1und1.com, pop.1und1.com, imap.1und1.com.
    >18.01.2019, 15:40:17: FETCH - Besitzer: DE, 1&1 Internet SE, Rheinland-Pfalz, Montabaur, smtp.ionos.de.
    >18.01.2019, 15:40:17: FETCH - Aussteller: DE, 1&1 Internet SE, Rheinland-Pfalz, Montabaur, smtp.ionos.de.
    !18.01.2019, 15:40:17: FETCH - TLS-Handshakefehler. Ungültiges Server-Zertifikat. Das Zertifikat oder ein Zertifikat in der Zertifikatskette besitzt keine gültige Signatur.. Das Zertifikat oder die Zertifikatskette stammt aus einer nicht vertrauenswürdigen Quelle.

    Nun habe ich 3 SSL Dateien von meinem Kundenbereich bei 1&1 ionos heruntergeladen:

    c3d.at_private_key.key
    c3d.at_ssl_certificate_INTERMEDIATE.cer
    c3d.at_ssl_certificate.cer

    Habe versucht das im Adressbuch zu importieren - Ansicht->Windows-Zertifikate speichern.

    Leider ohne Erfolg.

    Wie muss man da genau vorgehen?

    Ich habe The Bat v7.4.16

    Vielen Dank. :)

  • Zitat

    Zertifikat S/N: 025C52, Algorithmus: RSA (512 Bits)


    Das Zertifikat hat niemals so eine geringe Sicherheit und Seriennummer.
    Du verwendest irgendwelche Filter/Sicherheitsoftware, die bei deinen Mailanschluss die SSL-Verbindung scannt, deine Mails filtert und die Zertifikate kaputt macht.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • c3d.at_private_key.key
    c3d.at_ssl_certificate_INTERMEDIATE.cer
    c3d.at_ssl_certificate.cer


    Was sind das für welche? Von deinem privaten Web- oder Mail-Server?
    Die helfen nicht weiter.

    - - -

    Du solltest in The Bat! unter Optionen → S/MIME und TLS… → (•) Microsoft Crypto API aktivieren.

    Zertifikate installierst du in dem du die .der oder .crt-Datei mit Doppelklick öffnest und dann in der Windows-Zertifikatsverwaltung importierst.

    Lade dir mal TeleSec ServerPass Class 2 CA herunter und installiere die TeleSec_ServerPass_Class_2_CA.der-Datei in der Windows-Zertifikatsverwaltung unter Vertrauenswürdige Stammzertifizierungsstellen.
    Dasselbe mit der T-TeleSec GlobalRoot Class 2.


    Und für Spamsniper selbst http://antispamsniper.com/forum/viewtopic.php?t=700 hast du schon gesehen?
    Also die Zip-Datei herunter geladen, entpackt und dann root_antispamsniper.cer in der Windows-Zertifikatsverwaltung unter Vertrauenswürdige Stammzertifizierungsstellen installiert?


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Einmal editiert, zuletzt von GwenDragon (19. Januar 2019 um 09:44)

  • Hallo GwenDragon,

    Die Keys sind von 1&1 ionos. Der Host wo meine Website drauf liegt und wo ich meinen Mail Account habe.


    Ich habe nun, bevor ich deinen Beitrag gelesen habe die S/MIME Engine wieder auf "Interne Implementierung" zurückgestellt. (Bild 3)
    Ich kann nun wieder Emails von meinem 1und1 ionos.de Account empfangen und ebenso von meinem GMX Account.

    Ich kann auch von BEIDEN Accounts Emails senden, jedoch mit der Fehlermeldung Wurzelzertifikat (Bild 1).
    Manchmal kommt auch Fehlermeldung TLS-Handshakefehler (Bild 2) und es wird nichts gesendet.

    Mit "Microsoft Crypto API" konnte ich auf BEIDEN Accounts weder senden noch empfangen.

    Hier das Log wenn ich sende:


    Ich werde nun versuchen deinen Anweisungen zu folgen und die Zertifikate installieren.

    Danke für deine Hilfe! :)

  • Kann sein, dass bei dir die Zertifikate einfach veraltet sind.

    Ich geb dir jetzt mal die RootCA.ABD als Zip in der bei The Bat! die Zertifikate der The Bat! 8.7 drin sind.
    Kopiere die Datei in dein Mailverzeichnis.

    Nicht vergessen: bei S/MIME und TLS auf dann (•) Interne Implementierung setzen!

  • Also ich habe nun alles so gemacht wie du gesagt hat.
    Zertifikate installiert
    S/MIME Engine auf Microsoft umgestellt.

    Ich kann nun von beiden Accounts SENDEN.
    Ich kann nun aber von beiden Accounts nicht mehr EMPFANGEN.

    Um auf BEIDEN Accounts empfangen zu können muss ich S/MIME Engine auf "Interne Implementierung" umstellen.

    Code
    21.01.2019, 13:20:16: FETCH - Empfange Nachrichten 21.01.2019, 13:20:16: FETCH - Verbinde mit POP3-Server pop.gmx.net auf Port 995 21.01.2019, 13:20:16: FETCH - Einleitung TLS-Handshake>21.01.2019, 13:20:18: FETCH - Zertifikat S/N: 64, Algorithmus: RSA (512 Bits), ausgestellt von 21.01.2019 11:48:46 bis 16.01.2039 11:48:46, für 2 Host(s): pop.gmx.net, pop.gmx.de.>21.01.2019, 13:20:18: FETCH - Besitzer: DE, 1&1 Mail & Media GmbH, Rhineland-Palatinate, Montabaur, pop.gmx.net.>21.01.2019, 13:20:18: FETCH - Aussteller: EN, root.antispamsniper.com.!21.01.2019, 13:20:18: FETCH - TLS-Handshakefehler. Ungültiges Server-Zertifikat. Das Zertifikat oder ein Zertifikat in der Zertifikatskette besitzt keine gültige Signatur.. Das Zertifikat oder die Zertifikatskette stammt aus einer nicht vertrauenswürdigen Quelle.


    Also ich denke es liegt nun nur noch am Antispam Sniper Zertifikat.
    Der Beitrag war von 2015, wo ich das runtergeladen habe.

    Wenn ich nun in mein Adressbuch gehe kann ich unter "Ansicht->Zertifikat Adressbücher" diese nicht mehr anzeigen da der Menüpunkt fehlt. (Bild 1).
    Also ich sehe die "Trusted Root CA" nicht mehr und kann es auch nicht anzeigen lassen.
    Wie kann ich das wieder anzeigen lassen im Adressbuch?

    Ich geb dir jetzt mal die RootCA.ABD als Zip in der bei The Bat! die Zertifikate der The Bat! 8.7 drin sind.
    Kopiere die Datei in dein Mailverzeichnis.

    Ich warte nun noch mit der RootCA.zip von dir. Vielleicht liegt es ja am Antispam Sniper Zertifikat.
    Was genau meinst du mit Mailverzeichnis? Wo ist das?

    Vielen Dank! :)

  • Also ich sehe die "Trusted Root CA" nicht mehr und kann es auch nicht anzeigen lassen.
    Wie kann ich das wieder anzeigen lassen im Adressbuch?

    bei Optionen → S/MIME und TLS auf (•) Interne Implementierung setzen.

    Ich warte nun noch mit der RootCA.zip von dir. Vielleicht liegt es ja am Antispam Sniper Zertifikat.
    Was genau meinst du mit Mailverzeichnis? Wo ist das?

    Dann gib mal im Explorer folgendes ein %APPDATA%\The Bat!.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Mit "Microsoft Crypto API" konnte ich auf BEIDEN Accounts weder senden noch empfangen.

    Wenn man auf die MS Zertifikatsdatenbank umschaltet, müssen die Zertifikate an einer anderen Stelle importiert werden, also nicht über das TB!-Adressbuch. Unter Win7 geht das über "Systemsteuerung | Internetoptionen | Inhalte | Zertifikate".

    Bleibt man bei der internen Implementierung, müssen im TB!-Adressbuch unter "Trusted Root CA" (Menü "Ansicht | Zertifikatsdatenbanken" aktivieren) sowohl das Hauptzertifikat als auch das Austellerzertifikat enthalten sein. Letzteres ist bei dir nicht der Fall, denn die Fehlermeldung:

    >21.01.2019, 12:00:16: SEND - Zertifikataussteller fehlt: "DE", "T-Systems Enterprise Services GmbH", "T-Systems Trust Center", "T-TeleSec GlobalRoot Class 2".
    !21.01.2019, 12:00:16: SEND - TLS-Handshakefehler. Ungültiges Serverzertifikat (Der Aussteller dieser Zertifikatskette wurde nicht gefunden)

    deutet daraufhin, dass das Zertifikat "T-TeleSec GlobalRoot Class 2" nicht vorhanden ist. Standardmässig ist es in v7.4.16 zusammen mit "T-TeleSec GlobalRoot Class 3" enthalten und bis 2033 gültig. Man kann's aber auch bei Bedarf von der offiziellen Seite herunterladen. Wie man Wurzelzertifikate in TB! importiert, weißt du doch schon, oder?

  • Also ich habe nun folgendes gemacht und es funktioniert nun alles:

    1. T-TeleSec GlobalRoot Class 2 herunterladen
    2. Optionen -> S/MIME und TLS -> "Interne Implementierung"
    3. Hilfsmittel -> Adressbuch -> Ansicht -> Zertifikatsdatenbanken (anhaken)
    4. Trusted Root CA rechtsklick -> Neue Adresse
    5. Eigenschaften Adressbucheintrag -> Zertifikate
    6. Zertifikat-Import -> Zertifikat "globalroot_class_2.cer" auswählen -> OK
    7. Eigenschaften Adressbucheintrag -> Allgemein -> Vorname -> "T-Telesec GlobalRoot Class 2" eintragen
    8. Fertig

    Danke an @GwenDragon und @sanyok für Eure tolle Hilfe! :)

  • @C3D Geht, erfreulich. :)

    Na, dann wolltest du wohl Zertifikat importieren lernen ;)
    Das hättest du dir mit der von mir hier hoch geladenen RootCA.ABD von The Bat! 8.7 sparen können, denke ich. Aber es ist ja auch eine Vertrauensangelegenheit, ob man sowas macht.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Einmal editiert, zuletzt von GwenDragon (22. Januar 2019 um 18:37)

  • Hi,

    habe seit ein paar Wochen denselben "Fehler".

    Die Anleitung hier hat mir auch geholfen, aber nach kurzer Zeit begann das Spiel wieder von vorne. :(



    Lösung für mich war, dass gmx jetzt nicht Class 2, sondern Class 3 wollte.


    Zu finden ist das Zertifikat hier:

    https://www.telesec.de/de/public-key-…balroot-class-3