FETCH - TLS-Handshakefehler. Ungültiges Server-Zertifikat. (Antispam Sniper)

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • FETCH - TLS-Handshakefehler. Ungültiges Server-Zertifikat. (Antispam Sniper)

    Guten Tag,

    Da seit heute das empfangen von emails nicht mehr ging. (Wurzelzertifikat) habe ich meine Kontoeigenschaften von smtp.1und1.de und pop.1und1.de auf ionos.de umgestellt.
    Ebenso die Ports. Beide auf "Geschützt aud dediziertem Port (TLS)".

    Dann habe ich noch unter S/MIME auf Microsoft Crypto API umgestellt. (Kryptographie Service Provider:Voreingestellt)

    Nun kann ich zwar senden, aber nicht empfangen.

    Quellcode

    1. >18.01.2019, 15:40:17: FETCH - Zertifikat S/N: 025C52, Algorithmus: RSA (512 Bits), ausgestellt von 28.10.2018 21:35:39 bis 23.10.2038 21:35:39, für 9 Host(s): smtp.ionos.de, pop.ionos.de, imap.ionos.de, smtp.1und1.de, pop.1und1.de, imap.1und1.de, smtp.1und1.com, pop.1und1.com, imap.1und1.com.
    2. >18.01.2019, 15:40:17: FETCH - Besitzer: DE, 1&1 Internet SE, Rheinland-Pfalz, Montabaur, smtp.ionos.de.
    3. >18.01.2019, 15:40:17: FETCH - Aussteller: DE, 1&1 Internet SE, Rheinland-Pfalz, Montabaur, smtp.ionos.de.
    4. !18.01.2019, 15:40:17: FETCH - TLS-Handshakefehler. Ungültiges Server-Zertifikat. Das Zertifikat oder ein Zertifikat in der Zertifikatskette besitzt keine gültige Signatur.. Das Zertifikat oder die Zertifikatskette stammt aus einer nicht vertrauenswürdigen Quelle.


    Nun habe ich 3 SSL Dateien von meinem Kundenbereich bei 1&1 ionos heruntergeladen:

    c3d.at_private_key.key
    c3d.at_ssl_certificate_INTERMEDIATE.cer
    c3d.at_ssl_certificate.cer

    Habe versucht das im Adressbuch zu importieren - Ansicht->Windows-Zertifikate speichern.

    Leider ohne Erfolg.

    Wie muss man da genau vorgehen?

    Ich habe The Bat v7.4.16

    Vielen Dank. :)

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von GwenDragon ()

  • Zertifikat S/N: 025C52, Algorithmus: RSA (512 Bits)

    Das Zertifikat hat niemals so eine geringe Sicherheit und Seriennummer.
    Du verwendest irgendwelche Filter/Sicherheitsoftware, die bei deinen Mailanschluss die SSL-Verbindung scannt, deine Mails filtert und die Zertifikate kaputt macht.
    The Bat! Pro 8.x BETA (32bit) | Win 10 Pro x64 | GnuPG 2.2.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.
  • C3D schrieb:

    c3d.at_private_key.key
    c3d.at_ssl_certificate_INTERMEDIATE.cer
    c3d.at_ssl_certificate.cer

    Was sind das für welche? Von deinem privaten Web- oder Mail-Server?
    Die helfen nicht weiter.

    - - -

    Du solltest in The Bat! unter Optionen → S/MIME und TLS… → (•) Microsoft Crypto API aktivieren.

    Zertifikate installierst du in dem du die .der oder .crt-Datei mit Doppelklick öffnest und dann in der Windows-Zertifikatsverwaltung importierst.

    Lade dir mal TeleSec ServerPass Class 2 CA herunter und installiere die TeleSec_ServerPass_Class_2_CA.der-Datei in der Windows-Zertifikatsverwaltung unter Vertrauenswürdige Stammzertifizierungsstellen.
    Dasselbe mit der T-TeleSec GlobalRoot Class 2.


    Und für Spamsniper selbst antispamsniper.com/forum/viewtopic.php?t=700 hast du schon gesehen?
    Also die Zip-Datei herunter geladen, entpackt und dann root_antispamsniper.cer in der Windows-Zertifikatsverwaltung unter Vertrauenswürdige Stammzertifizierungsstellen installiert?
    The Bat! Pro 8.x BETA (32bit) | Win 10 Pro x64 | GnuPG 2.2.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von GwenDragon ()

  • Hallo GwenDragon,

    Die Keys sind von 1&1 ionos. Der Host wo meine Website drauf liegt und wo ich meinen Mail Account habe.


    Ich habe nun, bevor ich deinen Beitrag gelesen habe die S/MIME Engine wieder auf "Interne Implementierung" zurückgestellt. (Bild 3)
    Ich kann nun wieder Emails von meinem 1und1 ionos.de Account empfangen und ebenso von meinem GMX Account.

    Ich kann auch von BEIDEN Accounts Emails senden, jedoch mit der Fehlermeldung Wurzelzertifikat (Bild 1).
    Manchmal kommt auch Fehlermeldung TLS-Handshakefehler (Bild 2) und es wird nichts gesendet.

    Mit "Microsoft Crypto API" konnte ich auf BEIDEN Accounts weder senden noch empfangen.

    Hier das Log wenn ich sende:

    Quellcode

    1. 21.01.2019, 12:00:15: SEND - Sende Nachricht(en) - 1 Nachricht(en) in der Warteschlange
    2. 21.01.2019, 12:00:15: SEND - Verbinde mit SMTP-Server smtp.ionos.de auf Port 465
    3. 21.01.2019, 12:00:15: SEND - Einleitung TLS-Handshake
    4. >21.01.2019, 12:00:16: SEND - Zertifikat S/N: 34E6B7FBA7569E48F31E26CE1E57CCAF, Algorithmus: RSA (2048 Bits), ausgestellt von 22.08.2018 04:47:34 bis 27.08.2020 23:59:59, für 9 Host(s): smtp.ionos.de, pop.ionos.de, imap.ionos.de, smtp.1und1.de, pop.1und1.de, imap.1und1.de, smtp.1und1.com, pop.1und1.com, imap.1und1.com.
    5. >21.01.2019, 12:00:16: SEND - Besitzer: "DE", "1&1 Internet SE", "Rheinland-Pfalz", "Montabaur", "smtp.ionos.de".>21.01.2019, 12:00:16: SEND - Aussteller: "DE", "T-Systems International GmbH", "T-Systems Trust Center", "Nordrhein Westfalen", "57250", "Netphen", "Untere Industriestr. 20", "TeleSec ServerPass Class 2 CA". Gültig ab 11.02.2014 14:39:10 bis 11.02.2024 23:59:59. Der Aussteller dieser Zertifikatskette wurde nicht gefunden!
    6. >21.01.2019, 12:00:16: SEND - Zertifikataussteller fehlt: "DE", "T-Systems Enterprise Services GmbH", "T-Systems Trust Center", "T-TeleSec GlobalRoot Class 2".
    7. !21.01.2019, 12:00:16: SEND - TLS-Handshakefehler. Ungültiges Serverzertifikat (Der Aussteller dieser Zertifikatskette wurde nicht gefunden)
    8. 21.01.2019, 12:00:19: SEND - TLS-Handshake vollständig 21.01.2019, 12:00:19: SEND - Verbunden mit dem SMTP-Server
    9. 21.01.2019, 12:00:20: SEND - authentifizieren (Login)... 21.01.2019, 12:00:20: SEND - Sende Nachricht an office@xxx.at
    10. <21.01.2019, 12:00:21: SEND - Nachricht an office@xxx.at versandt (15953 Byte)
    11. 21.01.2019, 12:00:21: SEND - Verbindung beendet - 1 Nachricht(en) versandt
    Alles anzeigen

    Ich werde nun versuchen deinen Anweisungen zu folgen und die Zertifikate installieren.

    Danke für deine Hilfe! :)
    Bilder
    • 3_Mime.png

      29,05 kB, 628×440, 30 mal angesehen
    • 2_TLS.png

      8,53 kB, 425×151, 19 mal angesehen
    • 1_Wurzelzertifikat.png

      22,51 kB, 584×273, 25 mal angesehen

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von GwenDragon ()

  • Kann sein, dass bei dir die Zertifikate einfach veraltet sind.

    Ich geb dir jetzt mal die RootCA.ABD als Zip in der bei The Bat! die Zertifikate der The Bat! 8.7 drin sind.
    Kopiere die Datei in dein Mailverzeichnis.

    Nicht vergessen: bei S/MIME und TLS auf dann (•) Interne Implementierung setzen!
    Dateien
    • RootCA.zip

      (67,94 kB, 55 mal heruntergeladen, zuletzt: )
    The Bat! Pro 8.x BETA (32bit) | Win 10 Pro x64 | GnuPG 2.2.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.
  • Also ich habe nun alles so gemacht wie du gesagt hat.
    Zertifikate installiert
    S/MIME Engine auf Microsoft umgestellt.

    Ich kann nun von beiden Accounts SENDEN.
    Ich kann nun aber von beiden Accounts nicht mehr EMPFANGEN.

    Um auf BEIDEN Accounts empfangen zu können muss ich S/MIME Engine auf "Interne Implementierung" umstellen.

    Quellcode

    1. 21.01.2019, 13:20:16: FETCH - Empfange Nachrichten 21.01.2019, 13:20:16: FETCH - Verbinde mit POP3-Server pop.gmx.net auf Port 995 21.01.2019, 13:20:16: FETCH - Einleitung TLS-Handshake>21.01.2019, 13:20:18: FETCH - Zertifikat S/N: 64, Algorithmus: RSA (512 Bits), ausgestellt von 21.01.2019 11:48:46 bis 16.01.2039 11:48:46, für 2 Host(s): pop.gmx.net, pop.gmx.de.>21.01.2019, 13:20:18: FETCH - Besitzer: DE, 1&1 Mail & Media GmbH, Rhineland-Palatinate, Montabaur, pop.gmx.net.>21.01.2019, 13:20:18: FETCH - Aussteller: EN, root.antispamsniper.com.!21.01.2019, 13:20:18: FETCH - TLS-Handshakefehler. Ungültiges Server-Zertifikat. Das Zertifikat oder ein Zertifikat in der Zertifikatskette besitzt keine gültige Signatur.. Das Zertifikat oder die Zertifikatskette stammt aus einer nicht vertrauenswürdigen Quelle.

    Also ich denke es liegt nun nur noch am Antispam Sniper Zertifikat.
    Der Beitrag war von 2015, wo ich das runtergeladen habe.

    Wenn ich nun in mein Adressbuch gehe kann ich unter "Ansicht->Zertifikat Adressbücher" diese nicht mehr anzeigen da der Menüpunkt fehlt. (Bild 1).
    Also ich sehe die "Trusted Root CA" nicht mehr und kann es auch nicht anzeigen lassen.
    Wie kann ich das wieder anzeigen lassen im Adressbuch?

    GwenDragon schrieb:

    Ich geb dir jetzt mal die RootCA.ABD als Zip in der bei The Bat! die Zertifikate der The Bat! 8.7 drin sind.
    Kopiere die Datei in dein Mailverzeichnis.
    Ich warte nun noch mit der RootCA.zip von dir. Vielleicht liegt es ja am Antispam Sniper Zertifikat.
    Was genau meinst du mit Mailverzeichnis? Wo ist das?

    Vielen Dank! :)
    Bilder
    • 1_Adressbuch.png

      24,28 kB, 518×322, 15 mal angesehen
  • C3D schrieb:

    Also ich sehe die "Trusted Root CA" nicht mehr und kann es auch nicht anzeigen lassen.
    Wie kann ich das wieder anzeigen lassen im Adressbuch?
    bei Optionen → S/MIME und TLS auf (•) Interne Implementierung setzen.

    C3D schrieb:

    Ich warte nun noch mit der RootCA.zip von dir. Vielleicht liegt es ja am Antispam Sniper Zertifikat.
    Was genau meinst du mit Mailverzeichnis? Wo ist das?
    Dann gib mal im Explorer folgendes ein %APPDATA%\The Bat!.
    The Bat! Pro 8.x BETA (32bit) | Win 10 Pro x64 | GnuPG 2.2.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.
  • C3D schrieb:

    Mit "Microsoft Crypto API" konnte ich auf BEIDEN Accounts weder senden noch empfangen.
    Wenn man auf die MS Zertifikatsdatenbank umschaltet, müssen die Zertifikate an einer anderen Stelle importiert werden, also nicht über das TB!-Adressbuch. Unter Win7 geht das über "Systemsteuerung | Internetoptionen | Inhalte | Zertifikate".

    Bleibt man bei der internen Implementierung, müssen im TB!-Adressbuch unter "Trusted Root CA" (Menü "Ansicht | Zertifikatsdatenbanken" aktivieren) sowohl das Hauptzertifikat als auch das Austellerzertifikat enthalten sein. Letzteres ist bei dir nicht der Fall, denn die Fehlermeldung:

    C3D schrieb:

    >21.01.2019, 12:00:16: SEND - Zertifikataussteller fehlt: "DE", "T-Systems Enterprise Services GmbH", "T-Systems Trust Center", "T-TeleSec GlobalRoot Class 2".
    !21.01.2019, 12:00:16: SEND - TLS-Handshakefehler. Ungültiges Serverzertifikat (Der Aussteller dieser Zertifikatskette wurde nicht gefunden)
    deutet daraufhin, dass das Zertifikat "T-TeleSec GlobalRoot Class 2" nicht vorhanden ist. Standardmässig ist es in v7.4.16 zusammen mit "T-TeleSec GlobalRoot Class 3" enthalten und bis 2033 gültig. Man kann's aber auch bei Bedarf von der offiziellen Seite herunterladen. Wie man Wurzelzertifikate in TB! importiert, weißt du doch schon, oder?
  • Also ich habe nun folgendes gemacht und es funktioniert nun alles:

    1. T-TeleSec GlobalRoot Class 2 herunterladen
    2. Optionen -> S/MIME und TLS -> "Interne Implementierung"
    3. Hilfsmittel -> Adressbuch -> Ansicht -> Zertifikatsdatenbanken (anhaken)
    4. Trusted Root CA rechtsklick -> Neue Adresse
    5. Eigenschaften Adressbucheintrag -> Zertifikate
    6. Zertifikat-Import -> Zertifikat "globalroot_class_2.cer" auswählen -> OK
    7. Eigenschaften Adressbucheintrag -> Allgemein -> Vorname -> "T-Telesec GlobalRoot Class 2" eintragen
    8. Fertig

    Danke an @GwenDragon und @sanyok für Eure tolle Hilfe! :)
  • @C3D Geht, erfreulich. :)

    Na, dann wolltest du wohl Zertifikat importieren lernen ;)
    Das hättest du dir mit der von mir hier hoch geladenen RootCA.ABD von The Bat! 8.7 sparen können, denke ich. Aber es ist ja auch eine Vertrauensangelegenheit, ob man sowas macht.
    The Bat! Pro 8.x BETA (32bit) | Win 10 Pro x64 | GnuPG 2.2.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von GwenDragon ()

  • Neu

    Hi,

    habe seit ein paar Wochen denselben "Fehler".

    Die Anleitung hier hat mir auch geholfen, aber nach kurzer Zeit begann das Spiel wieder von vorne. :(


    C3D schrieb:

    Also ich habe nun folgendes gemacht und es funktioniert nun alles:

    1. T-TeleSec GlobalRoot Class 2 herunterladen
    2. Optionen -> S/MIME und TLS -> "Interne Implementierung"
    3. Hilfsmittel -> Adressbuch -> Ansicht -> Zertifikatsdatenbanken (anhaken)
    4. Trusted Root CA rechtsklick -> Neue Adresse
    5. Eigenschaften Adressbucheintrag -> Zertifikate
    6. Zertifikat-Import -> Zertifikat "globalroot_class_2.cer" auswählen -> OK
    7. Eigenschaften Adressbucheintrag -> Allgemein -> Vorname -> "T-Telesec GlobalRoot Class 2" eintragen
    8. Fertig

    Danke an @GwenDragon und @sanyok für Eure tolle Hilfe! :)Damit ist der Eintrag bei mir vorhanden.



    Lösung für mich war, dass gmx jetzt nicht Class 2, sondern Class 3 wollte.


    Zu finden ist das Zertifikat hier:

    telesec.de/de/public-key-infra…elesec-globalroot-class-3