Probleme mit v1.62r beim SSL-Zugriff auf GMX-Konten

  • Hallo Leute,

    ich habe mehrere Postfächer bei GMX.

    Ab 1.1.2014 soll der Zugriff darauf nur noch mit SSL möglich sein.

    Die Konfigurierungsparameter für Outlook lauten laut GMX:

    Versenden mit STARTLS auf Port 587

    Empfangen mit TLS auf Port 995.

    Mit Thebat funktioniert das aber nicht zuverlässig.

    Was muss ich alles (noch) einstellen?

    Thebat hat nach der ersten Umstellung die Freigabe eines unklaren Certifikates verlangt,

    könnte es daran liegen?

  • wenn ich die Parameter ändere wie im Beispiel beschrieben bekomme ich folgendes Protokoll:

    23.11.2013, 12:45:28: FETCH - Empfange Nachrichten
    23.11.2013, 12:45:28: FETCH - Einleitung TLS-Handshake
    >23.11.2013, 12:45:28: FETCH - Zertifikat S/N: 429122A6486E892FBE9D106E7B3E8074, Algorithmus: RSA (2048 Bits), ausgestellt von 24 Apr 2013 bis 24 Apr 2015, für 1 Host(s): pop.gmx.net.
    >23.11.2013, 12:45:28: FETCH - Besitzer: DE, Rhineland-Palatinate, Montabaur, 1&1 Mail & Media GmbH, pop.gmx.net.
    >23.11.2013, 12:45:28: FETCH - Aussteller: US, Thawte, Inc., Thawte SSL CA.
    >23.11.2013, 12:45:28: FETCH - Keine Übereinstimmung zwischen Hostname ("pop.gmx.de") und Zertifikat.
    23.11.2013, 12:45:28: FETCH - Verbindung beendet - 0 Nachricht(en) empfangen

  • Ja klar, das Zertifikat gilt für die Gegenstelle pop.gmx.net, du verbindest aber zu pop.gmx.de.

    Ändere die Zugriffsadressen auf mail.gmx.net für den Versand und pop.gmx.net für den Empfang von Mails mit den folgenden Einstellungen:

    Posteingangsserver: pop.gmx.net // Geschützt auf dediziertem Port // 995
    Postausgangsserver: mail.gmx.net // Geschützt auf dediziertem Port // 465

  • so weit so gut,

    funzt aber nicht immer:

    derzeit hängt eine Kontoabfrage seit über einer Stunde.

    In der Logdatei steht:


    23.11.2013, 13:15:30: FETCH - Einleitung TLS-Handshake
    >23.11.2013, 13:15:31: FETCH - Zertifikat S/N: 429122A6486E892FBE9D106E7B3E8074, Algorithmus: RSA (2048 Bits), ausgestellt von 24 Apr 2013 bis 24 Apr 2015, für 1 Host(s): pop.gmx.net.
    >23.11.2013, 13:15:31: FETCH - Besitzer: DE, Rhineland-Palatinate, Montabaur, 1&1 Mail & Media GmbH, pop.gmx.net.
    >23.11.2013, 13:15:31: FETCH - Aussteller: US, Thawte, Inc., Thawte SSL CA.

    Im Verbindungsmanager läßt sich der Job weder mit "Aufgabe löschen" noch mit "Abbrechen" beenden,

    sondern ich muss Thebat mit dem Taskmanager beenden.

    Woran liegt das?

  • Später nochmals versuchen oder ist es ständig so?

    Bei mir ging es jetzt problemlos:

    Code
    FETCH - Empfange Nachrichten
    FETCH - Verbinde mit POP3-Server pop.gmx.net auf Port 995
    FETCH - Einleitung TLS-Handshake
    FETCH - Zertifikat S/N: 429122A6486E892FBE9D106E7B3E8074, Algorithmus: RSA (2048 Bits), ausgestellt von 24.04.2013 bis 24.04.2015 23:59:59, für 1 Host(s): pop.gmx.net.
    FETCH - Besitzer: DE, Rhineland-Palatinate, Montabaur, 1&1 Mail & Media GmbH, pop.gmx.net.
    FETCH - Aussteller: US, "Thawte, Inc.", Thawte SSL CA.
    FETCH - TLS-Handshake vollständig
    FETCH - Verbunden mit dem POP3-Server
  • sind diese versionen nicht russisch?

    Die Sprache wird durch die Datei THEBAT.LNG definiert. THEBAT.EXE ist immer englisch.

    "unknown CA Certificate"

    CA steht für Certification Authority = Zertifizierungsstelle, also der Austeller des Zertifikats. Im Falle von GMX ist es:

    Code
    Aussteller: US, "Thawte, Inc.", Thawte SSL CA.


    Das Root-/Wurzel-Zertifikat des Ausstellers muss im Trusted Root CA Adressbuch (ROOTCA.ABD) enthalten sein. Im Adressbuch auf Ansicht und dann Zertifikatsdatenbanken klicken. Es kann aber sein, dass es in v1.x anders ist. Wenn Thawte SSL CA dort nicht enthalten ist, dann musst du es selbst einfügen. Zu Thawte s. diesen Thread. Dort gibt es auch den Link zu Thawte-Webseite mit den Zertifikaten.

    Einmal editiert, zuletzt von sanyok (24. November 2013 um 17:42)

  • Ob das das richtige ist, weiß ich nicht. Aber du könntest aus dem verlinkten Thread von Thawte das Root-Zertifikate -Paket herunterladen und einfach alle enthaltenen ins Adressbuch aufnehmen; sind nur 10 Stück und du brauchst auch nur die cer-Dateien. Wenn das richtige dabei war, bist du fertig ansonsten lags an was anderem.

  • In kurzen Worten:

    Zertifikate-Pakte herunterladen und entpacken
    In The Bat! das Adressbuch aufrufen
    ggf. unter Ansicht den Punkt "Zertifikatsdatenbanken" anschalten
    links das Adressbuch "Trusted Root CA" aufrufen
    Strg + T drücken zum Hinzufügen eines neuen Kontakts
    Name eingeben; ich würde als Name den Ordnernamen nehmen in dem das gleich zu installierende Zertifikat liegt
    weiter über Tab "Zertifikate" der Button "Zertifikat-Import"
    das erste zu importierende Zertifikat auswählen (cer-Datei) und mit "Öffnen" importieren
    am Ende den Adressbucheintrag mit OK schließen

    So verfährst du mit den restlichen Zertifikaten auch.

  • Um alle Root-/Wurzel-Zertifikate auf einmal zu aktualisieren, könnte man auch folgendermaßen vorgehen. In irgendeiner TB! Version wurden die Zertifikate aktualisiert. ROOTCA.ABD ist im Setup nicht enthalten, sondern wird von TB! erstellt, wenn man das Programm startet. Also könnte man eine Sicherung der v1.x machen, diese löschen und testweise die letzte Version 6 oder 5 installieren und starten (u.U. zusätzlich ein Testkonto einrichten). Diese generiert die Datei ROOTCA.ABD, die man sogleich sichert. Dann stellt man die ursprüngliche v1.x wieder her und ersetzt die dort vorhandene ROOTCA.ABD durch diese neue. Auf diese Weise bekommt man die aktuellen Root-/Wurzel-Zertifikate. Zumindest theoretisch müsste das klappen.